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$ 1 Einleitung 


A. Internetsicherheit als Wissensproblem 


Das Internet vernetzt mit dem bislang dominierenden Internet-Protokoll welt- 
weit Individuen und Dinge. Alle wesentlichen Bereiche und Funktionen in heu- 
tigen Gesellschaften sind abhängig von der Informations- und Kommunika- 
tionstechnologie Internet. Daten- und Informationsinfrastrukturen bilden die 
Nervenbahnen des gesellschaftlichen Lebens. Das Funktionieren des Internet 
hat mittlerweile essenzielle Bedeutung für den Einzelnen, die Gesellschaft, die 
Wertschöpfungsketten und die öffentliche Aufgabenerfüllung. Die Anzahl der 
Nutzer und Teilnehmer steigt und es kann davon ausgegangen werden, dass das 
Internet für Jahrzehnte die entscheidende Infrastruktur bleiben wird. 

Ein Grundproblem, das es erschwert, die Sicherheit der das Internet bilden- 
den Netz- und Informationssysteme zu gewährleisten, ist Komplexität. Im Lau- 
fe der Entwicklung des Internets haben sich ein Maß an Komplexität und ein 
Grad an Kopplung desselben mit sozialen Prozessen entwickelt, die für die In- 
frastruktur ebenso wie für Nutzer zur Gefahr werden können.! Komplex sind 
sowohl die Informationsinfrastrukturen als auch die Angriffe auf sie. Im Zuge 
von Innovationszyklen und damit einhergehenden technologischen Neuentwick- 
lungen sowie inkrementellen Verbesserungen verringert sich die die System- 
komplexität keineswegs, sondern erhöht sich tendenziell weiter. Angreifer sind 
innovativ und professionell und arbeiten mit leicht bedienbaren Werkzeugen. 
Vernetzte Systeme sind kaum isolierbar, IT-Sicherheitsumgebungen können 
durch manipulierte Hardware und Software kompromittiert werden und sind 
damit inhärent unsicher. Verschlüsselungen können schnell mit mittlerweile 
häufig angewandten Brute-Force-Methoden umgangen werden. Die Sicherheits- 
lage erscheint auch deshalb als prekär, weil es als unmöglich gilt, Software zu 
schreiben, die keine Fehler enthält. Je nach Programmqualität liegt die Fehler- 


! Palfrey/Gasser, Interop — The Promise and Perils of highly interconnected systems, 
2012, S. 76; Schneier, Complexity the Worst Enemy of Security, CWHK, 17.12.2012; King, 
Science of Cyber-Security, Mitre Report JSR-10-102, 2010, S. 14; vgl. Erwägungsgrund 1 VO 
(EU) Nr. 526/2013; Brown, Research Handbook on Governance of the Internet, 2013, S. 152; 
Bundesministerium des Innern, Cyber-Sicherheitsstrategie für Deutschland, 2016, S. 7. 
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quote zwischen 5 und 0,0001 Prozent.? Bei anspruchsvolleren Programmen mit 
mehreren hundert Millionen Zeilen Code kann dies zu einer beträchtlichen 
Quantität an Angriffswegen führen. Die Anzahl an Sicherheitslücken, die für 
einen Hack ausgenutzt werden können, liegt bei ungefähr 5 Prozent. Hinzu 
kommt, dass nicht nur stetig neue Sicherheitslücken, sondern ebenso konstant 
neue Exploittechniken geschaffen werden, also Techniken, die dazu dienen, 
Sicherheitslücken auszunutzen.’ 

Die Ubiquität und gleichzeitige Interdependenz von Informationstechnolo- 
gien lassen Kaskadeneffekte als ein realistisches und nicht zu ignorierendes 
Szenario erscheinen.* Denn nicht nur ermöglicht die Vernetzung Angriffe aus 
großer Entfernung, sondern sie steigert die Anfälligkeit und Verwundbarkeit 
von Systemen und potenziert damit Angriffsvektoren.° 

Aufgrund der Dynamik der digitalen Entwicklung lassen sich die Folgen von 
Störungen kaum vorhersagen. Denn zur Eigenschaft komplexer Systeme gehört 
auch, dass sich das Verhältnis von Ursache und Wirkung aufgrund des Grades 
der Abhängigkeiten und Wechselwirkungen der die Systeme konstituierenden 
Elemente nicht linear verhält und demnach Kausalverläufe keineswegs immer 
überschaubar und transparent sind.° Kleine Veränderungen können disproporti- 
onale Auswirkungen haben. Das Ideal von Voraussage und Kontrolle ist weitge- 
hend unerreichbar, da die Faktoren, von denen individuelle Ereignisse abhän- 
gen, in der Regel so zahlreich sind, dass sie in ihrer Gesamtheit nicht ermittelt 
werden können.’ In der Cyber-Sicherheitsforschung wird aus diesem Grund 
zunehmend nach analogen Bewältigungsstrategien und erklärenden Mustern in 


2 Gaycken, Cybersecurity in der Wissensgesellschaft, in: Daase/Engbert/Junk (Hrsg.), 
Verunsicherte Gesellschaft — Überforderter Staat, 2013, S. 109 (115 £). 

3 Gaycken/Lindner, Zero Day Governance — A(n Inexpensive) Solution to the Cyber Secu- 
rity Problem, in: Cyber Dialogue — What is Stewardship in Cyberspace, 2012, S. 13. 

4 Petermann/Bradke/Lüllmann/Poetzsch/Riehm, Was bei einem Blackout geschieht, Stu- 
dien des Büros für Technikfolgen-Abschätzung beim Deutschen Bundestag, 2011, S. 31, 70 ff. 

5 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Die Lage der IT-Sicherheit in 
Deutschland 2015, 2015, S. 35; Kommission, Impact Assessment accompanying the Proposal 
for a NIS Directive, SWD(2013) 32 final, S. 13; Bundeskriminalamt, Cybercrime, Bundesla- 
gebild, 2014, S. 12 ff. 

6 Vgl. BVerfGE 120, 274 (306): „Informationstechnische Systeme haben mittlerweile ei- 
nen derart hohen Komplexitätsgrad erreicht, dass ein wirkungsvoller sozialer und techni- 
scher Selbstschutz erhebliche Schwierigkeiten aufwerfen und zumindest den durchschnittli- 
chen Nutzer überfordern kann.“ 

7 von Hayek, Die Theorie komplexer Phänomene, in: Kerber (Hrsg.), Die Anmaßung von 
Wissen, 1996, S. 281 (295); Gaycken, Cybersecurity in der Wissensgesellschaft, in: Daase/ 
Engbert/Junk (Hrsg.), Verunsicherte Gesellschaft — Überforderter Staat, 2013, S. 109 (115 f); 
ders., Öffentliches Fachgespräch des Ausschusses Digitale Agenda des Deutschen Bundes- 
tages zum Thema IT-Sicherheit, A-Drs. 18(24)10, S. 3. 
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anderen Bereichen gesucht, die ebenfalls durch Komplexität gekennzeichnet 
sind. Wegen der Ähnlichkeit von Schadprogrammen mit pathogenen Infektio- 
nen werden etwa terminologische Anleihen bei der Epidemiologie genommen. 
So ist in der IT-Sicherheit von Viren, Würmern oder Infektionen die Rede.° 

Dies zeigt, dass die Komplexität der technischen Basis und die Faktenkom- 
plexität zugleich zu einer „hohen epistemischen Komplexität“ führen.” Ver- 
schiedene Sichtweisen, Konzeptionierungen, Kategorisierungen, Differenzie- 
rungen, Klassifizierung und Kontextualisierungen mit Bezug auf technisch 
immer anspruchsvollere Netze, Systeme und Programme führen bei den Akteu- 
ren unweigerlich zu einer komplexeren Betrachtung der Probleme in der Inter- 
netsicherheit. Sie ist zwar auch erforderlich, um unzulässige oder unzuverlässi- 
ge Simplifizierungen zu vermeiden. Allerdings führt sie auch dazu, dass selbst 
die Experten das Feld kaum mehr überblicken, Probleme erkennen, Schwierig- 
keiten priorisieren oder Verwundbarkeiten determinieren können. '® 

Da die Komplexität des Internets für menschliche Beobachter kaum mehr zu 
durchdringen ist, stellt sich die Netz- und Informationssicherheit für die Akteure 
als kognitive und epistemische Unsicherheit und damit als Herausforderung dar.!! 

Organisationen verfolgen zur Mitigation von Gefahren für die Sicherheit 
grundsätzlich einen reduktionistischen Ansatz. Anders als es ein holistischer 
Ansatz erfordern würde, konzentrieren sich Unternehmen daher auf die IT- 
Sicherheit ihrer eigenen Systeme mit einem starken Fokus auf Kausalität. Somit 
gehören Schutzschichten wie Firewalls, Intrusion Detection Systems oder Anti- 
Viren-Programme zu verbreiteten Maßnahmen zur Abwehr von Gefahren für 
die IT-Sicherheit. Ein etablierter Ansatz im Risikomanagement ist außerdem 
das automatisierte Testen und Validieren der Systeme.'? Problematisch an for- 


8 Vgl. Armstrong/Mayo/Siebenlist, Complexity Science Challenges in Cybersecurity, 2009, 
S. 4; Eckert, IT-Sicherheit, 2000, S. 58 ff., 68 ff. 

° Gaycken, Cybersicherheit in der Wissensgesellschaft, in: Daase/Engbert/Junk (Hrsg.), 
Verunsicherte Gesellschaft — Überforderter Staat, 2013, S. 109 (117). 

10 Gaycken, Cybersicherheit in der Wissensgesellschaft, in: Daase/Engbert/Junk (Hrsg.), 
Verunsicherte Gesellschaft — Überforderter Staat, 2013, S. 109 (120). 

!! Der Begriff „kognitiv“ wird für Vorgänge intellektueller Art verwendet, die sich inner- 
halb des Menschen abspielen, vgl. Eberle, Organisation der automatisierten Datenverarbeitung 
in der öffentlichen Verwaltung, 1976, S. 39, Fn. 31; Dörner, Die Logik des Misslingens — 
Strategisches Denken in komplexen Situationen, 11. Aufl. 2012, S. 61 f., von Foerster, The 
Curious Behavior of Complex Systems, in: Linstone/Simmonds (Hrsg.), Futures Research: 
New Directions, 1977, S. 104 (106 ff.), die veranschaulichen, dass Komplexität vor allem eine 
subjektive Größe ist, was heißt, dass die Wahrnehmung, ob eine Situation komplex ist oder 
nicht, von der jeweiligen Person abhängt. Kognitive Kompetenz kann aber in Erweiterung 
der rein anthropozentrischen Perspektive auch in Operationsformen und Organisationen ma- 
nifestiert sein. Dazu unten unter § 3 B. 

12 Etwa durch Penetrationstests, siehe Eckert, IT-Sicherheit, 2014, S. 210. 
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malen Verfahren ist jedoch, dass selbst dann, wenn Problemstellungen in der 
Informatik in Logik, Mathematik und Algorithmen ausgedrückt werden kön- 
nen, nicht sichergestellt ist, dass sie vollständig konsistent oder in endlicher Zeit 
entscheidbar sind. Hinzu kommt das Problem der Informationsasymmetrien. 
Das adäquate Erkennen von Risiken und Gefahren für die Netz- und Informa- 
tionssicherheit ist für kleine Einheiten wie Unternehmen sehr kostenintensiv. 
Infolge fehlender Investitionsanreize und Moral Hazard können epistemische 
Unsicherheiten das Niveau der Netz- und Informationssicherheit stagnieren oder 
sogar sinken lassen." 

Bei allgemeinerer Betrachtung wird deutlich, dass das Wissensproblem in 
der Cybersicherheit pars pro toto für die Wissensprobleme der vernetzten Infor- 
mations- und Wissensgesellschaft steht. Bei diesen Gesellschaftsbeschreibun- 
gen handelt es sich um Bedeutungsträger, die den Komplexitätszuwachs einer 
Gesellschaft zusammenfassen." Es sind die „funktionsspezifischen Operations- 
weisen“ der gesellschaftlichen Bereiche, in denen Wissen wissenschaftlich or- 
ganisiert und zum zentralen Faktor wird, die für moderne Gesellschaften diese 
übergreifenden Beschreibungen rechtfertigen.” Die Karriere des Internets hat 
die allgemeine Paradigmenverschiebung, die zu einer Neuordnung in eine In- 
formations- und Wissensverteilung führte, mitverursacht.'® Charakteristisch 
für die Wissensgesellschaft ist, dass wegen der Spezialisierung und Ausdiffe- 
renzierung der gesellschaftlichen Bereiche kein relevanter Akteur allein über 


13 Zu diesem fundamentalen Problem Sassaman/Patterson/Bratus/Shubina, The Halting 
Problems of Network Stack Insecurity, login Vol. 36 (No. 6), 2011, 22 (22 f.). Ob sich das 
Problem zukünftig durch künstliche Intelligenz und Quantencomputing lösen lässt, sei hier 
dahingestellt. 

4 Moral Hazard bezeichnet im Zusammenhang mit Internetsicherheit das Phänomen, dass 
sich private Betreiber von Netz- und Informationssystemen sich einer kostenintensiven Ver- 
antwortung für Sicherheit entziehen würden, weil sie auf eine staatliche Intervention im Fal- 
le von Sicherheitsvorfällen spekulierten. Dazu /rion, The Governance of Network and In- 
formation Security in the European Union, in: Krüger/Nickolay/Gaycken (Hrsg.), The Secure 
Information Society, 2013, S. 5 ff.; Andersson/Malm, Public-Private Partnership and the Chal- 
lenge of Critical Infrastructure Protection, in: Dunn/Mauer (Hrsg.), International CIIP Hand- 
book 2006, Vol. II, 2006, S. 139 (143); Hämmerli/Renda, Protecting Critical Infrastructure in 
the EU, 2010, S. 49 £.; vgl. Bauer/van Eeten, Telecommunications Policy 33 (2009), 706 (710 f.). 

15 Vgl. zur wissenssoziologischen Perspektive auch Werle/Schimank (Hrsg.), Gesellschaft- 
liche Komplexität und kollektive Handlungsfähigkeit, 2000, S. 12; Roßnagel/Wedde/Hammer/ 
Pordesch, Die Verletzlichkeit der ‚Informationsgesellschaft‘, 2. Aufl. 1989, S. 28, 42, 46 ff. 

16 Vgl. Vesting, Zwischen Gewährleistungsstaat und Minimalstaat. Zu den veränderten 
Bedingungen der Bewältigung Öffentlicher Aufgaben in der „Informations- und Wissensge- 
sellschaft“, in: Hoffmann-Riem/Schmidt-Aßmann (Hrsg.), Verwaltungsrecht in der Informa- 
tionsgesellschaft, 2015, S. 101 (107 ff.). 

17 So Weingart/Carrier!Krohn (Hrsg.), Nachrichten aus der Wissensgesellschaft, 2007, S. 38. 

18 Vgl. Hoeren, NIW 1998, 2849 (2854). 
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entscheidungsrelevantes Wissen verfügt. Das handlungs- und entscheidungs- 
relevante Wissen ist stattdessen gesamtgesellschaftlich und in den Teilbereichen 
dezentral vorhanden, d.h., eine zentrale Stelle, welche die Informationen aggre- 
giert vorrätig hält, existiert grundsätzlich nicht, auch nicht in den gesellschaftli- 
chen Subbereichen. 

Aus der Dezentralisierung des Wissens folgt, dass das entscheidungsrelevan- 
te Wissen für die Bewältigung öffentlicher Aufgaben problemorientiert zusam- 
mengetragen werden muss.” Gleiches gilt für den Bereich der Internetsicher- 
heit. Kollektiv besteht maßgebliches Wissen über den Zustand der Systeme. Vor 
allem nach der Privatisierung und Deregulierung der IKT-Infrastruktur ist das 
Wissen jedoch gesellschaftsweit verstreut.” So sind etwa Informationen über 
kritische IT-Schwachstellen und Sicherheitslücken, sofern überhaupt bekannt, 
auf verschiedene Unternehmen, Personen oder Behörden verteilt und nur frag- 
mentiert vorhanden. 

Komplexität hat als Problembegriff zwar Entlastungspotenzial. Doch sind 
komplexe Systeme nicht vorschnell mit komplizierten Systemen gleichzuset- 
zen. Komplexität darf nicht zum Deckmantel für Resignation werden, indem 
mit der Unterstellung von gesellschaftlicher Selbstorganisation das Fehlen von 
Gestaltungsversuchen von vorneherein zu entschuldigen.”! Wird die Gewähr- 
leistung der Internetsicherheit als Wissensproblem aufgefasst,” so stellt sich vor 
allem für den Staat als wissensbasierte Organisation” die Frage, wie das Recht 
mit diesem Problem umgeht. Unter der Prämisse, dass Rechtswissenschaft 
„nicht allein oder vorrangig als normtextorientierte Interpretationswissenschaft 
verstanden, sondern [...] als problemlösungsorientierte Handlungs- und Ent- 
scheidungswissenschaft konzipiert werden [muss]“,?* ist danach zu fragen, wel- 
che rechtlichen Instrumente dazu beitragen können, Probleme zu lösen. 


19 Vgl. Wollenschläger, Wissensgenerierung im Verfahren, 2009, S. 34 ff.; Ladeur, Post- 
moderne Rechtstheorie: Selbstreferenz — Selbstorganisation — Prozeduralisierung, 2. Aufl. 
1995, S. 209£. 

20 Siehe dazu die als Bangemann-Bericht bekannt gewordenen Empfehlungen vom 26.05. 
1994 an den Europäischen Rat von Korfu „Europa und die globale Informationsgesellschaft“, 
1994. 

2! Zum zeithistorischen Wandel des Begriffs Komplexität weg von einem, der dafür 
stand, Phänomene in ihrer Ganzheit zu erfassen, hin zu einem Problembegriff Leendertz, 
Das Komplexitätssyndrom. Gesellschaftliche Komplexität als intellektuelle und politische 
Herausforderung in den 1970er Jahren, MPIfG Discussion Paper 15/07. 

22 Im Kontext der Energieregulierung Herzmann, Konsultationen — Eine Untersuchung 
von Prozessen, kooperativer Maßstabskonkretisierung in der Energieregulierung, 2010, S. 33 ff. 

3 Voßkuhle, Das Konzept des rationalen Staates, in: Schuppert/Voßkuhle (Hrsg.), Gover- 
nance von und durch Wissen, 2008, S. 13 (16); vgl. Schulz, Rewi 3 (2012), 330 (330). 

24 Hoffmann-Riem, Regulierungswissen in der Regulierung, in: Bora/Henkel/Reinhard, 
Wissensregulierung und Regulierungswissen, 2014, S. 135 (138). 
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Die vorliegende Arbeit nimmt das geschilderten Wissensproblem zum An- 
lass zu untersuchen, wie das Recht zur Lösung des Problems der Internetsicher- 
heit beitragen kann. Die These lautet, dass das Informationsverwaltungsrecht 
mit seiner epistemischen Funktion zur Bewältigung des Wissensproblems einen 
Beitrag zur Gewährleistung der Sicherheit von Netz- und Informationssystemen 
in der Europäischen Union zu leisten vermag. Im Nachfolgenden wird unter- 
sucht, mit welchen informationsverwaltungsrechtlichen Instrumenten zur Initi- 
ierung, Strukturierung und Organisation von Informationen und Wissen dieser 
Beitrag zur Internetsicherheit geleistet werden könnte. 


B. Aufbau der Untersuchung 


In einem ersten Schritt werden Internetsicherheit und Informationsverwal- 
tungsrecht einander zugeordnet ($ 2). Dabei wird der Untersuchungsgegen- 
stand, die Gewährleistung der Internetsicherheit in Europa, zunächst begrifflich 
gefasst und losgelöst vom rechtlichen Kontext in seinen technischen Eigen- 
schaften betrachtet. Doch ohne Theorie bleiben die Fakten ohne Aussagekraft. 
Nach der Betrachtung der technischen Dimension werden daher die extra- 
Juristische Dimension des Wissensproblems und die epistemische Funktion des 
Informationsverwaltungsrechts entfaltet, um herauszuarbeiten, wie Recht als 
Steuerungsfaktor — Steuerung verstanden als indirekter Einfluss hinsichtlich ei- 
nes Ziels und nicht etwa im Sinne der Beherrschung eines Zustands oder einer 
linearen Einwirkung — im Kontext des Internets Wirkung in der Sicherheits- 
gewährleistung entfalten kann. Zur weiteren Bestimmung des Beitrags des In- 
formationsverwaltungsrecht unterscheidet die Untersuchung, dem Informati- 
onszyklus der administrativen Informationsverarbeitung folgend, Generierung, 
Transfer und Distribution sicherheitsrelevanter Informationen durch die infor- 
mationsverarbeitende Administrative. 

Die Generierung von Informationen über die Internetsicherheit ist grund- 
legend für die Erkenntnisgewinnung durch die Verwaltung ($ 3). Durch die Be- 
stimmung der Reichweite der verfassungsrechtlichen Pflicht zur Informations- 
generierung und des die Akteure bestimmenden Organisationsrechts sowie die 
Betrachtung der rechtlichen Regelungen zur Generierung von sicherheitsbezo- 
genen Informationen kann nachvollzogen werden, ob und welche Informationen 
bei den jeweiligen privaten Betreibern und Anbietern erhoben werden können. 
Diese Untersuchung lässt Aussagen darüber zu, in welchem Ausmaß das Wis- 
sensproblem durch Recht berücksichtigt und abgebildet wird und inwieweit dies 
noch eingefordert werden muss. Die Bewertung der Wirksamkeit der informa- 
tionsverwaltungsrechtlichen Instrumente hängt auch davon ab, inwieweit das 
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Recht Grenzen kalkulierten Nichtwissens setzt. Besondere Grenzen werden 
hinsichtlich des Selbstbelastungsschutzes, des Datenschutzes und des Schutzes 
unternehmensbezogener Daten identifiziert. 

Nach der Betrachtung der Generierung von Informationen wendet sich der 
Blick auf den Transfer von Informationen, d.h. auf die Weitergabe von Informa- 
tionen im Rahmen der europäischen Kooperation im Bereich der Netz- und In- 
formationssicherheit ($ 4). Dabei zeigt sich, dass die Union auch und gerade in 
sicherheitsbezogenen Politikbereichen auf Informationskooperation angewiesen 
ist, um handlungs- und entscheidungsrelevantes Wissen zu generieren und so 
Kompetenz- und Vollzugsdefizite im Bereich der Netz- und Informationssicher- 
heit auszugleichen. Die Richtlinie (EU) 2016/1148 zur Gewährleistung eines 
hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in 
der Union (NIS-Richtlinie) bezweckt, einen Rahmen für die Zusammenarbeit 
auf europäischer Ebene zu schaffen, und steht daher im Zentrum der Untersu- 
chung des grenzüberschreitenden Informationstransfers. Besondere Begrenzun- 
gen für den Informationsfluss können neben dem Schutz von personenbezogenen 
und unternehmensbezogenen Daten aus dem Organisationsrecht folgen. 

Die Generierung und der Transfer von Informationen dienen den nationalen 
und europäischen Informationsbedürfnissen der Verwaltung. Da vor allem Un- 
ternehmen und Bürgerinnen und Bürger als Hersteller, Anwender und Nutzer 
von Produkten und Systemen im Bereich der IT-Sicherheit auf eine funktionie- 
rende Internetinfrastruktur angewiesen sind, stellt sich die Frage, wie die durch 
die Verwaltung erhobenen Informationen und wie das so geschaffene Wissen 
weitergehend zur Sicherheitsgewährleistung genutzt werden kann. Da die Ver- 
folgung von Individualinteressen durch unterschiedliche Eigenrationalitäten, 
Verhaltensmuster und Erfahrungsbestände eine entscheidende Schubkraft zur 
Verwirklichung von Gemeinwohl ist, wird schließlich untersucht, ob und wie 
die gesammelten Informationen durch Distribution, d.h. durch rechtliche Infor- 
mationsbeziehungen der Verwaltung zu Privaten, in der Gewährleistung der 
Internetsicherheit fruchtbar gemacht werden können (§ 5). Zugrunde gelegt 
wird dabei die Annahme, dass das Informationshandeln des Staates nicht nur 
dem demokratischen Partizipationsgedanken verpflichtet ist, sondern darüber 
hinaus auch den gewandelten kognitiven Bedingungen der Gesellschaft. 

Wegen der technischen Konvergenz und der mitunter einheitlichen Gefahren 
für die Netz- und Informationssicherheit können bestimmte Regelungsmaterien 
nicht immer auseinandergehalten werden. So kann die zivile Sicherheit nicht als 
streng von der militärischen Sicherheit des Internets getrennt erfasst werden. 
Die Untersuchung beschränkt sich indes auf die Aspekte der zivilen Sicherheit, 
zumal in der europäischen NIS-Kooperation ein Informationsaustausch mit mi- 
litärischen Stellen nicht ausdrücklich vorgesehen ist. Sicherheit in der Informa- 
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tionstechnik wird zudem zu wichtigen Teilen präventiv durch das Polizeirecht 
und repressiv durch das Strafrecht und Strafverfolgungsrecht verfolgt. Diese 
Materien sind zum einen schon vielfach untersucht worden und zum anderen 
würden die legislativen Entwicklungen hier eigene monografische Behandlun- 
gen rechtfertigen.” Gegenstand der Arbeit ist daher der sich auf europäischer 
Ebene entwickelnde Bereich der Netz- und Informationssicherheit außerhalb 
der Abwehr polizeirechtlicher Gefahren und der Strafverfolgung.” Soweit in- 
formationsrechtliche Schnittstellen hinsichtlich der Datenflüsse der NIS-Zu- 
sammenarbeit zu Stellen relevant werden, die Daten zu Zwecken der Polizei- 
und Strafverfolgung verarbeiten, werden diese Rechtsbereiche in die Untersu- 
chung mit einbezogen. 


25 Vgl. Saloven/Grant/HanellMakai/Hansen/Belevicius/Pohnitzer, Study on the status of 
information exchange amongst law enforcement authorities in the context of existing EU in- 
struments, 2010, S. 84f. 

26 Die Cybersicherheitsstrategie der Europäischen Union, JOIN(2013) 1 final, S. 20, teilt 
das „Thema der Cybersicherheit“ in drei zentrale Bereiche auf, für die unterschiedliche 
Rechtsrahmen gelten. Neben der Netz- und Informationssicherheit sind dies die Strafverfol- 
gung und die Verteidigung. Im Sinne dieser Strategie konzentriert sich die Arbeit auf Rechts- 
fragen des erstgenannten Bereichs. 


§ 2 Internetsicherheit und 
Informationsverwaltungsrecht 


Die Untersuchung des Beitrags des Informationsverwaltungsrechts zur Internet- 
sicherheit in Europa erfordert wegen der begrifflichen Unschärfe eine eingren- 
zende Bestimmung des Begriffs der Internetsicherheit (A.). Eine kurze Skizzie- 
rung der Funktionsweise des Internets und der tatsächlichen wie rechtlichen 
Grenzen seiner Regulierbarkeit (B.) sollen zu der Frage leiten, wie Informations- 
verwaltungsrecht zur Lösung des Wissensproblems und damit zur Gewährlei- 
stung der Internetsicherheit in Europa beitragen kann (C.). 


A. Schutzzielbezogene Eingrenzung der Internetsicherheit 
auf Netz- und Informationssicherheit 


Der Begriff der Internetsicherheit ist aufgrund seiner verschiedenen Verwen- 
dungsmöglichkeiten unscharf. Gemeint sein kann die Sicherheit des Internets 
(Internet als Schutzobjekt), die Sicherheit im Internet (Internet als Medium zur 
Übertragung rechtswidriger Inhalte) oder die Sicherheit vor dem Internet (Inter- 
net als Angriffsmittel).' Der im Kontext von Internet und Sicherheit verwendete 


! Grundsätzlich können je nach Typ des Angriffs auf eine NIS-Infrastruktur und der An- 
greifer die Begriffe Cyberkriminalität, Cyberspionage, Cybersabotage oder Cyberkrieg ab- 
gegrenzt werden. Dabei geht es um Verstöße gegen Vermögensrechte im weiten Sinne, um 
Einbrüche in fremde Datenbanken staatlicher oder nicht staatlicher Unternehmen und um 
staatliche Versuche, Interessen internetbasiert durchzusetzen, Bendiek, Europäische Cyber- 
sicherheitspolitik, 2012, S. 7. Unter den Bedrohungen mit geringem bis mittlerem Schaden- 
spotenzial werden weiter Formen des Cyberaktivismus und Cybervandalismus diskutiert, 
Chiesa/Ducci/Ciappi, Profiling Hackers, 2009; Dunn Cavelty, Cyber(Un)Sicherheit: Grund- 
lagen, Trends und Herausforderungen, in: Schieren (Hrsg.), Neue Medien, alte Fragen? Das 
Internet in der Politik, 2012, S. 66ff. So bezieht sich Cyberkriminalität eher auf Verstöße 
gegen Eigentums- und Vermögensrechte von Privaten, während Cyberspionage Einbrüche in 
Datenbanken von staatlichen und nicht staatlichen Unternehmen durch fremde Staaten be- 
schreibt. Unter Cyberwar kann der Versuch eines Staates verstanden werden, einen anderen 
Staat nachhaltig zu schädigen, vgl. Robinson/Disley/Potoglou/Reding/Culley/Penny/Botter- 
man/Carpenter/Blackman/Millard, Feasibility Study for a European Cybercrime Centre, 
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Begriff der Cybersicherheit ist nicht wesentlich schärfer. Er steht eher in einem 
sicherheitspolitischen Zusammenhang und verweist auf die Gesamtheit der Po- 
litiken, Organisationen und Verfahren, die auf die Gewährleistung der Sicher- 
heitseigenschaften von Informations- und Telekommunikationsinfrastrukturen 
gerichtet sind.” Im europäischen Primärrecht findet sich lediglich der denkbar 
weite kompetenzrechtliche Begriff der Computerkriminalität in Art. 83 Abs. 1 
UAbs. 2 AEUV aus dem Politikbereich des Raums der Freiheit, der Sicherheit 
und des Rechts (Art. 67ff. AEUV). Dort umfasst der Kriminalitätsbereich das 
Internet sowohl als Angriffsobjekt als auch als Tatmittel, d.h., auch inhaltsbe- 
zogene Straftaten wie Aussagedelikte oder Straftaten gegen das geistige Eigen- 
tum, die mittels Computersystemen begangen werden, sind erfasst.’ In Erman- 
gelung eines im europäischen Primärrecht verankerten Begriffs der Internet- 
sicherheit ist es für die weitere Operationalisierung des Begriffs erforderlich, 
eine schutzzielbezogene Eingrenzung vorzunehmen. 

Als Ansatzpunkt für die schutzzielbezogene Eingrenzung kann der Begriff 
der IT-Sicherheit herangezogen werden. Zwar besteht ein abgeschlossenes 
Rechtsgebiet der IT-Sicherheit nicht und der Bereich zeichnet sich durch ver- 
streute Einzelregelungen aus.” Eine Definition der IT-Sicherheit findet sich je- 
doch im BSIG, dessen $ 2 Abs. 2 lautet: „Sicherheit in der Informationstechnik 
[...] bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfüg- 
barkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch 
Sicherheitsvorkehrungen 1. in informationstechnischen Systemen, Komponen- 
ten oder Prozessen oder 2. bei der Anwendung von informationstechnischen 
Systemen, Komponenten oder Prozessen.“ IT-Sicherheit bezieht sich damit auf 
die in der Vorschrift genannten Schutzziele, also die Verfügbarkeit, Unversehrt- 
heit im Sinne von Integrität und Vertraulichkeit von Informationen, die elektro- 
nisch gespeichert sind oder derart verarbeitet werden.’ Diese Schutzziele wer- 


2012, S. 17-55. Neben Vermögenswerten kann auch die staatliche Sicherheit ein gefährdetes 
Rechtsgut sein. Es lassen sich für die NIS neben anthropogenen Gefahren auch naturgegebe- 
ne Gefahrenquellen anführen, Saurugg, Die Netzwerkgesellschaft und Krisenmanagement 
2.0, 2012, S. 74. 

2 ITU, Definition of cybersecurity, ITU-T X.1205, abrufbar unter: http://www.itu.int/en/ 
ITU-T/studygroups/com17/Pages/cybersecurity.aspx. 

3 VogellEisele, in: Grabitz/Hilf/Nettesheim (Hrsg.), AEUV/EUV, 57. Aufl. 2015, Art. 83 
AEUV, Rn. 62; siehe auch das Übereinkommen des Europarates über Computerkriminalität 
vom 23.11.2011 (Cybercrime Convention), BGBl. 2008 II S. 1242, 1243, 2010 II S. 218, ein- 
schließlich des Zusatzprotokolls vom 28. Januar 2003 betreffend die Kriminalisierung mit- 
tels Computersystemen begangener Handlungen rassistischer und fremdenfeindlicher Art, 
BGBI. 2011 II S. 290, 291, 843. 

4 Vgl. Schmidl, NIW 2010, 476 (477); Spindler, MMR 2008, 7 (8 ff.). 

5 Heckmann, MMR 2006, 280 (281). 
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den allerdings durch das BSIG selbst nicht näher bestimmt. Der Bedeutungs- 
gehalt der Schutzziele wird aus der Informatik abgeleitet. Die Vertraulichkeit ist 
der Schutz vor unbefugter Preisgabe von Informationen und sie schützt (zudem) 
davor, dass ausschließlich Befugten Informationen in zulässiger Weise zugäng- 
lich sind.® Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrt- 
heit) von Daten und Informationen und der korrekten Funktionsweise von Sys- 
temen und schützt vor unerlaubter Veränderung derselben. Verfügbarkeit meint, 
dass Dienstleistungen, Funktionen eines IT-Systems und IT-Anwendungen oder 
IT-Netze oder Informationen von den Anwendern stets wie vorgesehen genutzt 
werden können. Informationssicherheit umfasst die Maßnahmen und das Ma- 
nagement zur Gewährleistung dieser Ziele.’ 

Die europäische Entsprechung des Begriffs der IT-Sicherheit ist die Netz- und 
Informationssicherheit (NIS). Deren Definition ergibt sich aus einer Richtlinie, 
die von der Kommission 2013 als Kernelement der EU-Cybersicherheitsstrate- 
gie® vorgeschlagen wurde. Die Richtlinie über Maßnahmen zur Gewährleistung 
eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssyste- 
men in Europa (NIS-RL) macht in Art. 1 Abs. 1 die Netz- und Informations- 
sicherheit zum Gegenstand der rechtlichen Maßnahme. NIS bezeichnet nach der 
Begriffsbestimmung in Art. 3 Abs. 2 NIS-RL die „Fähigkeit von Netzen und 
Informationssystemen, bei einem bestimmten Vertrauensniveau Störungen und 
böswillige Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität 
und Vertraulichkeit gespeicherter oder übermittelter Daten oder entsprechender 
Dienste beeinträchtigen, die über dieses Netz und Informationssystem angebo- 
ten werden beziehungsweise zugänglich sind“. Die NIS-RL geht über die Auf- 
zählung der Schutzziele in $ 2 Abs. 2 BSIG hinaus. Die Authentizität von Infor- 
mationen soll sicherstellen, dass sie von der angegebenen Quelle erstellt wurde, 
wobei sie sich sowohl auf Personenidentitäten als auch auf IT-Komponenten 
oder Anwendungen bezieht.!? Unter Netzen und Informationssystemen sind 


6 Zu diesen Definitionen das Glossar des IT-Grundschutz-Katalogs des BSI, abrufbar 
unter: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/ 
Glossar/glossar_node.html. 

7 Vgl. auch Schmidl, IT-Recht von A-Z, 2014, S. 149 £.; Conrad, in: Auer-Reinsdorff/dies., 
IT- und Datenschutzrecht, 2. Aufl. 2016, $ 33 Rn. 16ff.; vgl. auch Schmidl, IT-Recht von A-Z, 
2014, S. 149 f. 

8 JOIN(2013), 1 final. 

? Vgl. die Definition der internationalen Fernmeldeunion (ITU): „Cybersecurity is the 
collection of tools, policies, security concepts, security safeguards, guidelines, risk manage- 
ment approaches, actions, training, best practices, assurance and technologies that can be 
used to protect the cyber environment and organization and user’s assets“, abrufbar unter: 
http://www.itu.int/en/ITU-T/studygroups/com17/Pages/cybersecurity.aspx. 

10 Zu dieser Definition das Glossar des IT-Grundschutz-Katalogs des BSI, abrufbar unter: 
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nach der Begriffsbestimmung in Art. 3 Abs. 1 a) bis c) NIS-RL zum einen elek- 
tronische Kommunikationsnetze im Sinne der RL 2002/21/EG zu verstehen, 
zum anderen Computerdaten automatisch verarbeitende (miteinander verbun- 
dene oder zusammenhängende) Vorrichtungen und zuletzt Computerdaten, die 
zum Zwecke des Betriebs, der Nutzung, des Schutzes und der Pflege gespei- 
chert, verarbeitet, abgerufen oder übertragen werden. 

Das sekundärrechtliche Begriffsverständnis der Netz- und Informations- 
sicherheit ist sehr weit. Es stellt aber einen spezifischen Bezug zum Funktionie- 
ren der Netze und Informationssysteme her. Abgegrenzt werden können so in- 
haltsbezogene rechtswidrige Handlungen, auch wenn sie im umfassenderen 
Cybersicherheitsdiskurs eine Rolle spielen. Einbezogen werden können über 
den Begriff der Netz- und Informationssicherheit auch Gefahren, die ihre Ursa- 
che nicht in einem kriminellen Verhalten haben. Netz- und Informationssicher- 
heit bzw. IT-Sicherheit gehen nicht zuletzt über den Begriff des Datenschutzes 
hinaus.'! Datenschutz ist nur insofern ein Teilaspekt der Netz- und Informa- 
tionssicherheit, als auch nicht personenbezogene Daten einbezogen werden.'? 

Internetsicherheit soll im Folgenden als Netz- und Informationssicherheit 
verstanden werden. Demnach zielt Internetsicherheit darauf, die Verfügbarkeit 
von Diensten und Daten zu gewährleisten, die Störung und das unerlaubte Ab- 
hören des Kommunikationsverkehrs zu verhindern, die Vollständigkeit und 
Richtigkeit von übermittelten, erhaltenen und gespeicherten Daten zu bestäti- 
gen, die Vertraulichkeit der Daten sicherzustellen, Informationssysteme gegen 
unerlaubten Zugriff zu schützen, Informationssysteme vor Angriffen unter Ver- 
wendung von Schadprogrammen zu schützen oder die zuverlässige Authentifi- 
zierung sicherzustellen. 


https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/Glos 
sar/glossar_node.html;zu den über § 2 BSIG hinausgehenden Schutzinteressen Heckmann, 
MMR 2006, 280 ff. 

1L Forgó, Grundzüge des Informationssicherheitsrechts, in: Grützmacher/Conrad (Hrsg.), 
Recht der Daten und Datenbanken im Unternehmen, 2014, $ 64, Rn. 4; vgl. Feiler, Informa- 
tion Security Law in the EU and the U.S., 2011, S. 14f. 

12 Vgl. von Lewinski, Die Matrix des Datenschutzes, 2014, S. 4 f.; Feiler, Information Se- 
curity Law in the EU and the U.S., 2011, S. 20. Siehe auch die Schutzziele in Art. 32 Abs. 1 b) 
und c) DS-GVO. 
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B. Infrastrukturbedingte Sicherheitsprobleme und 
Regulierbarkeit des Internets 


Um die Schnittstelle von Technik und (Informationsverwaltungs-)Recht herzu- 
stellen, sind die relevanten Eigenschaften des Internets zu skizzieren.” Dazu ist 
auf die grundlegende Infrastruktur und auf spezifische Sicherheitsprobleme des 
Internet einzugehen (I.). Eine Regulierung, auch zur Gewährleistung der Sicher- 
heit, ist hinsichtlich der Risiken und Gefahren und aufgrund der technischen 
Eigenschaften des Internets begrenzt, aber nicht ausgeschlossen (II.). 


I. Infrastruktur des Internets 


Die strukturellen Eigenschaften des Internets von heute sind Folge spezifisch 
historisch-kontingenter Ausgangsbedingungen. In Folge des Sputnikschocks 
und des „Wettlaufs ins All“ wurde in den Vereinigten Staaten von Amerika die 
Advanced Research Project Agency (ARPA) gegründet, um wissenschaftliche 
Forschungseinrichtungen zu koordinieren. Ein Vorläufer des modernen Inter- 
nets, das ARPANET, entstand 1969, als die erste Verbindung eines Rechners 
der University of California und der ARPA hergestellt wurde. Zum Zwecke ein- 
heitlicher Kommunikationsstandards entwickelte die später umbenannte Defen- 
se Advanced Research Project Agency (DARPA) die Protokollsuite TCP/IP. Die 
Migration des ARPANET auf TCP/IP galt zum 01.01.1983 als abgeschlossen 
und kann als die Geburtsstunde des Internets gewertet werden kann. Die von 
der (DJARPA entwickelten TCP/IP-Protokolle und andere Paketvermittlungs- 
dienste bilden noch heute das Rückgrat des Internets.'* Der Verweis auf die 
Protokolle, d.h. verschiedene Kommunikationsregeln zur Datenübertragung, 
weist bereits auf den Tatbestand, dass das Internet nicht als die Summe der Ele- 
mente der physikalischen Infrastruktur verstanden werden kann. Zum Ver- 
ständnis des Internets gehören auch die logischen Verknüpfungen." Nicht nur 
die physische Infrastruktur in Gestalt von Hardware, sondern auch (techno-)lo- 
gische Internetdienste und Protokolle bilden das Internet. Dieses Strukturver- 
ständnis vom Internet lässt sich in einem Modell abbilden, in dem die Vorgänge 
der Datenübertragung und Verarbeitung verschiedenen, aufeinander aufbauen- 
den Schichten (layer) zugeordnet werden, die eine je unterschiedliche Funktion 
erfüllen.” Die bekanntesten Schichtenmodelle sind das ISO/OSI-Referenz- 


13 ENISA, Understanding the importance ofthe Internet Infrastructure in Europe, 2013, S. 29. 

14 Internet Society, Brief History of the Internet, 2012, abrufbar unter: www.internetsocie 
ty.org/brief-history-internet. 

15 Vgl. Koenig/Loetz/Neumann, Telekommunikationsrecht, 2004, S. 34. 

lé Kurose/Ross, Computer Networking: A Top-Down Approach, 6. Aufl. 2013, S. 47 ff.; 
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modell und das TCP/IP-Modell.'’ Alle Modelle haben gemeinsam, dass system- 
bedingte Sicherheitslücken und Schwachstellen in unterschiedlicher Weise auf 
diesen Ebenen auftreten können.'® In der gröbsten Differenzierung lässt sich 
zwischen der physikalischen Infrastrukturebene (1.) und der logischen Struktur- 
ebene (2.) unterscheiden. 


1. Physikalische Infrastruktur 


In der physikalischen Schicht (physical layer) bzw. Verbindungsschicht werden 
elektrische Spannungszustände als kleinste Informationseinheiten (bits) über- 
tragen, um Verbindungen zwischen Rechnern aufzubauen. Verschiedene Über- 
tragungsmedien mit unterschiedlichen Spezifikationen kommen für die Trans- 
mission in Betracht. Es lassen sich grob leitungsgebundene (z.B. Kabel- oder 
Glasfasernetze) und drahtlose Netze (z.B. Mobilfunk- oder Satellitennetze) dif- 
ferenzieren.'” Aus der Telefonie sind die Netzarten Zugangs- und Teilnehmer- 
netze bekannt.” Das Internet stellt keine originäre Netzart dar, sondern ist ein 
Netzwerk von Netzen.” 

Ein Telekommunikationsnetz oder eine Telekommunikationsinfrastruktur 
wird in der Nachrichtentechnik als die Gesamtheit von Netzknoten und Netz- 
kanten verstanden, die eine Verbindung der Endpunkte, etwa zum Zwecke des 
Informationsaustausches, ermöglichen.” Es wäre unzweckmäßig, die Teilneh- 
mer des Netzes untereinander unmittelbar zu verbinden. Sinnvoller ist es, die 
Teilnehmer über Vermittlungsstellen, also Netzknoten, zu verbinden. Dies ge- 
schieht mittels geeigneter Steuerungsprotokolle, die die Verbindungswege schal- 
ten. In einem weltweiten Netzwerk kommunizieren Rechner mit Hilfe stand- 
ardisierter Protokolle miteinander. Eine stetig wachsende Anzahl voneinander 
unabhängiger Netzwerke, sog. autonomer Systeme (AS), die sich selbst aus Teil- 
netzen zusammensetzen und über Router miteinander verbunden sind, bilden 
das Internet. Verbindendes Element der das Internet bildenden AS ist die ge- 
meinsam verwendete „Sprache“, das TCP/IP-Protokoll. Die autonomen Systeme 
selbst wiederum werden aus verschiedenen Teilnetzen zusammengesetzt, die 


Kühling/Schall/Biendl, Telekommunikationsrecht, 2014, S. 53 ff. Es gibt verschiedene solcher 
Schichtenmodelle. Für die Untersuchung genügt eine Orientierung am sog. OSI-Modell 
(Open Systems Interconnection). 

17 Koenig/Braun, K&R-Beilage 2/2002, 1 (16). 

18 Eckert, IT-Sicherheit: Konzepte — Verfahren — Protokolle, 2000, S. 93, 95. 

19 Kühling/SchalllBiendl, Telekommunikationsrecht, 2014, S. 55. 

20 Vgl. Klußmann, Lexikon der Kommunikations- und Informationstechnik, 2003, S. 956. 

2! Vgl. dazu Klußmann, Lexikon der Kommunikations- und Informationstechnik, 2003, 
S. 494. 

22 Vgl. Jung/Warnecke, Handbuch für die Telekommunikation, 2014, Einl. 4-3. 
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über Router verbunden sind. Alle unterstehen aber einer einzigen administrati- 
ven Instanz. Betreiber autonomer Systeme sind Internetdienstanbieter (Internet 
Service Provider), Webhoster, größere Unternehmen und öffentliche Internet- 
austauschpunkte. Koordinationsstelle der AS-Netze ist die zentrale Internet 
Assigned Numbers Authority (IANA). Sie zeichnet dafür verantwortlich, die 
konkrete Administration an die jeweiligen Regional Internet Registries (RIR) zu 
delegieren. Für Europa ist dies das Reseaux IP Européens (RIPE). Topologisch 
hat das Internet eine dezentrale Architektur ohne eine zentrale Verbindungs- 
stelle. Mit der eigenen Terminologie des Internets werden größere Verbindungen 
als backbones bezeichnet und größere Knotenpunkte als peering-points. Einer 
der größten Internetknotenpunkte ist der DE-CIX in Frankfurt am Main. 


2. Logische Infrastruktur 


Die logische bzw. technologische Infrastruktur setzt auf die technische Infra- 
struktur auf und stellt weitere Verbindungs- und Funktionselemente zur Verfü- 
gung. Die in der Informatik so genannten Protokolle stellen die Regeln bereit, 
nach denen Informationssysteme in Netzwerken kommunizieren und Daten 
austauschen. Auf der Internetschicht regelt das wichtige Basisprotokoll im TCP/ 
IP-Modell, das Internet Protocol (IP), die Datenübertragung. Es stellt sicher, 
dass Datenpakete vom Quellhost zum Zielhost übertragen werden. Die Funk- 
tionsfähigkeit des Internets hängt darüber hinaus von anderen Protokollen wie 
dem File Transfer Protocol (ftp), dem Hypertext Transfer Protocol (http) oder 
dem Simple Mail Transfer Protocol (smtp) ab. Schwachstellen in diesen Proto- 
kollen können dazu führen, dass ein schädlicher Code übertragen wird. Zum 
Teil sind bereits Protokollerweiterungen vorhanden, die einen Beitrag zur Ge- 
währleistung der Sicherheit leisten. Für das Internet Protocol der Version 6 
(IPv6), das Nachfolgeprotokoll des IPv4, gibt es mit IPsec eine Protokollsuite, 
die zur Gewährleistung der Schutzziele Vertraulichkeit, Authentizität und Inte- 
grität beiträgt und etwa IP-Spoofing, also das Versenden von IP-Paketen mit 
gefälschter Absender-IP-Adresse, verhindern soll. Ein ähnliches Beispiel ist 
HTTPS, dass das Hypertext-Übertragungsmodell schützen soll. Allerdings hat 
der sog. Heartbleed-Bug, eine für das nahezu gesamte Internet kritische Sicher- 
heitslücke, gezeigt, dass auch Erweiterungen von Verschlüsselungsprotokollen 
schwerwiegende Programmierfehler aufweisen können.” 


233 Der Heartbleed-Bug war ein Fehler im OpenSSL (Secure Sockets Layer), einer freien 
Software, die die Transportschicht verschlüsseln sollte. Durch den Programmierfehler konn- 
ten verschlüsselte Datentransporte eingesehen und so private Daten von Clients und Servern 
ausgelesen werden. 
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Für den Adressraum im Internet ist das Domain Name System (DNS) wich- 
tig. Dieses Domainnamensystem ist eine verteilte Datenbank, die den numeri- 
schen IP-Adressen Zeichenketten zuordnet und die Adressen nutzerfreundlich 
auflöst. Als essenzielle Komponente der Internetinfrastruktur wird das DNS 
vorrangig zur Ausnutzung von Sicherheitslücken herangezogen. Bei der Ent- 
wicklung des DNS wurde die Sicherheit kaum berücksichtigt. Besonders an- 
fällig ist es daher für Man-in-the-Middle-Angriffe und für Cache Poisoning. 
Bei diesen Bedrohungen werden gefälschte Daten verwendet, um Internetver- 
kehr auf ungewünschte Adressen umzuleiten. Auf diese Weise können etwa 
Kreditkartendaten extrahiert oder Benutzerkennwörter gestohlen werden, An- 
greifer können sich in die Voice-over-IP-Kommunikation (VoIP) einschalten 
und schädliche Software installieren. Da einzelne DNS-Nameserver für die 
Auflösung des Namens für Tausende Benutzer fungieren können, können die 
Folgen eines Angriffs auf diese Server sehr weitreichend sein. 

Die Sicherheitslücken und Schwachstellen in der Infrastruktur sowie den 
Diensten und Anwendungen des Internet sind systembedingt. Daneben können 
Gefahren für die Sicherheit durch die Interaktionen der internen Computerpro- 
gramme und externen Anwendungen auftreten, d.h. dann, wenn das Programm 
(Software) auf einem Client, der an das Internet angeschlossen ist, mit einem 
externen Dienst interagiert. So kann etwa ein Browser, der als Software auf dem 
Client die Nutzung der Plattform „www“ erlaubt, externe Dienste wie http, ftp 
oder das E-Mail-Protokoll smtp in Anspruch nehmen. Akteure der Nutzung kön- 
nen Hersteller von IT-Produkten, Anbieter von Diensten oder Nutzer von Pro- 
grammen sein. Gefahren für die Netz- und Informationssicherheit können dabei 
vorsätzlich verursacht oder auch auf sonstige Mängel und Fehlverhalten zurück- 
zuführen sein. Die Schwachstellen machen die Netze und Systeme zu einem 
Angriffsziel vorsätzlich schädigender Handlungen, die auf die Störung oder den 
Ausfall des Betriebs der Systeme gerichtet sind. Die Zunahme von Tragweite, 
Häufigkeit und Auswirkungen von Sicherheitsvorfällen, die eine erhebliche Be- 
drohung für den störungsfreien Betrieb von Netz- und Informationssystemen 
darstellen, war ein zentraler Grund für den Erlass der NIS-Richtlinie.”* 


II. Regulierbarkeit des Internets 


Das Internet hat eine mit dem Buchdruck vergleichbare emanzipatorische Wir- 
kung auf die Gesellschaft. Nicht ohne Grund sind dem Internet ein anarchischer 
Zug und ein egalitärer Kern zugeschrieben worden.” Die Natur des Internets 


24 Erwägungsgrund 1 der NIS-RL. 
25 Engel, Der egalitäre Kern des Internet. Eine vernachlässigte Herausforderung für Steue- 
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mit seiner — subjektiv — fehlenden topografischen Lokalität und der dadurch 
bewirkte virtualisierte Raumeindruck lassen es plausibel erscheinen, den Raum 
zunächst als Cyberspace mit weitestgehend begrenzter Staatlichkeit zu begrei- 
fen, da Staat herkömmlich als Territorialverband begriffen wurde.” Lawrence 
Lessig erweckte mit seinem durch ihn verbreiteten prominenten Postulat Code 
is law den Eindruck, eine rechtliche Regulierung sei wegen der technischen 
Funktionsweise des Internets nicht möglich. Vielmehr seien Code bzw. Soft- 
ware und Hardware „cyberspace’s law“.”’ Die immer noch bemühte Parole, „das 
Internet“ oder der „Cyberspace“ sei ein rechtsfreier Raum,”® ist rechtlich be- 
trachtet jedoch nicht mehr haltbar. Sie verkennt die das Internet beeinflussenden 
Regeln und Regelungen und die Entwicklung der Rechtsprechung. 

Das Internet ist kein rechtsfreier Raum und im Grundsatz regulierbar.”” Zwar 
stößt das Paradigma staatlichen Rechts für die Regulierung dieser prinzipiell 
globalen Infrastruktur an kaum überwindbare Grenzen.’ Klassische Unter- 
scheidungen wie Völker- und nationales Recht, Norm und Vertrag, öffentliches 
und Privatrecht sind wenig dazu geeignet, den Charakter dieses Ordnungs- 
rahmens treffend zu beschreiben. Das Internet wird aber in einem Ordnungs- 
rahmen verwaltet, der als Internet Governance oder als spezifisches Regelungs- 
arrangement beschrieben werden kann.?! 


rungstheorie und Steuerungspraxis, in: Ladeur (Hrsg.), Innovationsoffene Regulierung des 
Internet, 2003, S. 25 (25 ff.); vgl. Mayer-Schönberger, Journal of Law Technology and Policy 
I (2001), 1 (12); aus wissenschaftshistorischer Sicht und zur Entwicklungslinie der Counter- 
culture zur Cyberculture Turner, From counterculture to cyberculture. Stewart Brand, the 
Whole Earth Network, and the rise of digital utopianism, 2008, passim. 

2 Hobe, Cyberspace — der virtuelle Raum, in: Isensee/Kirchhof (Hrsg.), HbStR XI, 
3. Aufl. 2009, $ 231 Rn. 10. 

27 Lessig, Code and Other Laws of Cyberspace, 1999, S. 6. 

28 Barlow, A Declaration of the Independence of Cyberspace, 08.02.1996, abrufbar unter: 
https://www.eff.org/cyberspace-independence. Der Beginn lautet: „Governments of the In- 
dustrial World, you weary giants of flesh and steel, I come from Cyberspace, the new home 
of Mind. On behalf of the future, I ask you of the past to leave us alone. You are not welcome 
among us. You have no sovereignty where we gather. We have no elected government, nor are 
we likely to have one, so I address you with no greater authority than that with which liberty 
itself always speaks. I declare the global social space we are building to be naturally indepen- 
dent ofthe tyrannies you seek to impose on us. You have no moral right to rule us nor do you 
possess any methods of enforcement we have true reason to fear.“ Vgl. Schmidt/Cohen, The 
New Digital Age, 2013, S. 3. 

2 Für eine völkerrechtliche Perspektive siehe Report of the Group of Governmental Ex- 
perts on Developments in the Field of Information and Telecommunications in the Context of 
International Security, UN-Dok. A/68/98*, 24.06.2013, Abs. 19 ff. 

30 Vgl. Pernice, Die Verfassung der Internetgesellschaft, in: Blankenagel (Hrsg.), Den 
Verfassungsstaat nachdenken, 2014, S. 171 ff. 

3! Dazu Hofmann, Internet Governance, in: Schuppert (Hrsg.), Governance-Forschung — 
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Die mit der Entwicklung des Internet geführte Debatte um die Regulierung 
und Regulierbarkeit, die sowohl Fragen der technischen Infrastruktur, den Zu- 
gang zum Internet als auch das Verhalten im Internet betrifft, differenzierte sich 
entsprechend der internetspezifischen Handlungen und Vorgänge.” Auffassun- 
gen vom Internet als anarchischen Raum konnten spätestens mit Beginn von 
Rechtsprechungen, die das Verhalten „im“ Internet betreffen, nicht mehr beibe- 
halten werden.?? Auch solche Auffassungen, nach denen das Internet nur einer 
Selbstregulierung durch neuartiges Recht, das auf einem „market for law“ ent- 
stehe, zugänglich sei, weil das Internet die Bedeutung geografischer Orte und 
der Territorialität aufhebe, sind schon deshalb nicht aufrechtzuerhalten, weil 
eine staatliche Intervention in die Selbstregulierung sich nicht verhindern lässt 
und die Funktion staatlicher Gerichte als letzter Weg für Rechtsstreitigkeiten 
nicht aufgehoben ist.”* Ferner ist die These, das Internet sei etwas fernab jegli- 
cher herkömmlicher politischer Grenzen, technisch nicht haltbar.” Die interna- 
tional verbreitete und territorial differenzierte Praxis der Internetzensur, die 
Tendenzen der Fragmentierung oder „Balkanisierung“ des Internets?’ und die 
Überwachung im und durch das Internet haben nach der anfänglichen Euphorie 
zur Ernüchterung geführt. Sie zeigen auf, welche Einflussnahmen auf das Inter- 
net staatlicherseits möglich sind.?’ Das Urheberrecht ist ein weiteres Beispiel für 
staatliche Handlungsmöglichkeiten. Die Durchsetzbarkeit des Rechts stößt mit 
der Digitalisierung zwar an weitere Grenzen. Aufgrund einer zunehmenden Be- 


Vergewisserung über Stand und Entwicklungslinien, 2005, S. 277 ff.; Viellechner, Transnatio- 
nalisierung des Rechts, 2013, S. 147 ff. 

32 Viellechner, Transnationalisierung des Rechts, 2013, S. 110. 

3 Etwa AG München, NJW 1998, S. 2386 ff. — CompuServe I. In dem Fall wurde der 
Geschäftsführer der deutschen Tochtergesellschaft eines Internetanbieters mit Sitz in den 
Vereinigten Staaten von Amerika wegen öffentlicher Zugänglichmachung von Daten mit 
pornografischem Inhalt für strafbar gemäß $$ 184 Abs. 3 Nr. 2, 11 Abs. 3, 13, 14 Abs. 1 Nr. 1, 
25 Abs. 2 StGB befunden. 

34 Viellechner, Transnationalisierung des Rechts, 2013, S. 114. 

35 Exemplarisch für technisch mögliche Nationalisierungen des Internets im Sinne einer 
nationalen Einwirkung auf Teile des Internets waren zuletzt etwa die 2011 von Ägypten und 
Libyen im Zusammenhang mit den Aufständen beobachtbare Abschaltung von Teilnetzen 
des Internets (autonomer Systeme) und die Manipulation der Routing-Einträge des Border 
Gateway Protocol (BGP) bei den Internetdienstanbietern. Siehe dazu Dainotti/Squarcella/ 
Aben/Claffy/Chiesa/Russo/Pescape, IEEE/ACM TON 2014, S. 1964 ff. 

36 Hill, Internet Fragmentation, Harvard Belfer Center for Science and International 
Affairs Working Paper, 2012. 

37 Vgl. Wählisch/Schmist/de Brün/Häberlen, Exposing a Nation-Centric View on the Ger- 
man Internet — A Change in Perspective on AS-level, in: Taft/Ricciato (Hrsg.), Proc. of the 
13th PAM, 2012, S. 200 ff. 
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reitschaft zur internationalen Kooperation schaffen Nationalstaaten Regelun- 
gen, die Abhilfe bei den Vollzugsdefiziten zu schaffen versuchen.” 

Die anfänglichen Missverständnisse über das sind ist nicht nur im Verständ- 
nis der Natur und Architektur des Internets begründet. Dass das internationale 
Recht als geeignete Arena für eine Regelung des Internets in Betracht kommt, 
wurde anfangs schlicht nicht berücksichtigt.” Fragen der Regulierung des In- 
ternets und der Verwaltung der Kernressourcen wurden jedoch bereits auf den 
von der Internationalen Fernmeldeunion (Internet Telecommunications Union 
— ITU) ausgerichteten Weltgipfeln zur Informationsgesellschaft 2003 und 2005 
auf internationaler Ebene behandelt.” Bestrebungen, das Internet in den Rege- 
lungsbereich der ITU mit einzubeziehen und von den seit 1998 bestehenden 
International Telecommunications Regulations (ITRs) zu erfassen und damit 
ein anderes Regulierungsmodell zu etablieren, sind indes zuletzt 2012 nicht er- 
folgreich gewesen.“ 

Richtig ist hingegen, dass eine Internetregulierung nicht ausschließlich durch 
staatliches Recht stattfinden kann. Dies gilt insbesondere für die technische 
Regulierung, die für die hierrelevante sicherheitsrechtliche Betrachtung maßgeb- 
lich ist. Zum einen stößt in territorialer Hinsicht die Regulierung de jure an Juris- 
diktionsgrenzen. Eine staatliche Regulierung mit extraterritorialem Geltungs- 
anspruch wäre mangels Durchsetzbarkeit und angesichts etwaigig auftretender 
Regelungswidersprüche unwirksam, eine internationale Kooperation in diesem 
Bereich dürfte mit erheblichen Schwierigkeiten verbunden sein. Zum anderen 
stieße die Rechtsexpansion einzelner oder mehrerer Staaten im Kontext des Inter- 
net nicht zuletzt in demokratietheoretischer Hinsicht auf Legitimationsschwie- 
rigkeiten. Überdies sind wesentliche „Bestandteile“ des Internets de facto nicht 


38 Exemplarisch hier die sog. Internetverträge der Weltorganisation für geistiges Eigen- 
tum (World Intellectual Property Organization — WIPO). Der WIPO-Urheberrechtsvertrag 
(WIPO Copyright Treaty) und der WIPO Performances and Phonogram Treaty verpflichten 
die 156 WIPO-Mitgliedstaaten zu urheberrechtlichen Maßnahmen zum Schutze von Urhe- 
bern sowie zu Maßnahmen, um dem Umgehen von Kopierschutztechnik (DRM) mit rechtli- 
chen Vorkehrungen entgegenzuwirken; vgl. auch Dreier, GRUR 1997, 859 ff.; allgemein und 
sehr informiert über das Urheberrecht als Teil der Internetregulierung Peukert, GRUR-Bei- 
lage 2014, 77 ff. 

3 Mayer, Europäisches Internetverwaltungsrecht, in: Terhechte (Hrsg.), Verwaltungs- 
recht in der Europäischen Union, 2011, $ 25 Rn. 4 Fn. 8, mit dem Argument, Lessig habe in 
Code and Other Laws of Cyberspace, 1999, seine Argumentation diesbezüglich nicht konse- 
quent zu Ende verfolgt. 

4 Kleinwächter, Internet Governance — die Kontroverse des WSIS. Eine globale Ressour- 
ce im Spannungsfeld nationaler Interessen, Medienheft Dossier 24, 2005, S. 29 (29 ff.), online 
abrufbar; vgl. Fischer, www.InfrastrukturInternet-Cyberterror.Netzwerk, 2007, S. 44f. 

# Vgl. World Conference on International Telecommunications (WCIT-12), abrufbar unter: 
http://www.itu.int/en/weit-12/Pages/default.aspx; Spies, MMR-Aktuell 2012, 339462. 
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durch staatliches Recht determiniert oder sie sind Produkte von Organisationen, 
die nicht staatlich organisiert werden. Als Beispiel mag das Arrangement zur 
Vergabe von Domains im Internet dienen.” Für die Verwaltung des globalen Ad- 
ressierungsraums für das Internet ist unter anderem die Internet Assigned Num- 
bers Authority (IANA), eine Abteilung der Corporation for Assigned Names and 
Numbers (ICANN), verantwortlich, die über ein Netzwerk von Verträgen Do- 
mains im Internet vergibt und bei der es sich um eine nach kalifornischem Gesell- 
schaftsrecht verfasste gemeinnützige Körperschaft handelt.”” Die ICANN hat 
eine Regulierungsmacht, die nicht auf einem staatlichen Gewaltmonopol beruht, 
sondern auf der Kontrolle einer technischen Infrastruktur, der sog. A-Root-Ser- 
ver, die ihrerseits an den groben Konsens (rough consensus) der Administratoren 
und Eigentümer der Netze rückgekoppelt ist.** Die ICANN übernimmt auch si- 
cherheitsbezogene Aufgaben. Die Verwaltung etwa des internetsicherheitsrele- 
vanten DNSSEC-Schlüssels gehört zum Aufgabenbereich der ICANN im Rah- 
men der IANA-Funktion.* Als weiteres Beispiel können die Internetprotokolle 
herangezogen werden. Die verbreitetsten Protokolle, die das Internet verwendet, 
sind offene, d.h. nicht proprietäre, Protokollsuiten. Deren Dokumentationen wer- 
den in technischen Berichten spezifiziert und im Verfahren des sog. Requests for 
Comments (RFC) von der Internet Engineering Task Force (IETF) verabschiedet 
und veröffentlicht.*° Bei der IETF handelt es sich um einen formlosen Zusam- 
menschluss von Freiwilligen wie Netzwerkingenieuren, Netzbetreibern, Herstel- 
lern, Anwendern, für die keine Mitgliedschaftsvoraussetzung besteht und deren 
Entscheidungen über Internetstandards im rough consensus gefunden werden.” 
Die Protokollsuite IPSec ist eine der Erweiterungen, die von der IETF in einer 
Reihe von RFCs offiziell standardisiert und dokumentiert werden.*® 

Das Internet stellt sich demnach nicht als singuläre Technologie dar, die 
rechtlich durch zielgerichtete und lineare Einwirkung beherrscht werden kann. 
Das Internet setzt sich aus vielen Netzen und Systemen in unterschiedlichen 


42 Viellechner, Transnationalisierung des Rechts, 2013, S. 127 ff.; zur Funktion siehe $ 2 
B.I. 

8 Siehe zur Entstehungsgeschichte Hutter, Global Regulation of the Internet Domain 
Name System: Five Lessons from the ICANN Case, in: Ladeur (Hrsg.), Innovationsoffene 
Regulierung des Internets — Neues Recht für Kommunikationsnetzwerke, 2003, S. 39 ff. 

44 Zur weiteren Funktionsweise Weber, Internet-Governance, in: Hoeren/Sieber/Holznagel 
(Hrsg.), Handbuch Multimedia-Recht, 42. Aufl. 2015, Teil 2, Rn. 10. 

#5 ICANN, DNSSEC, abrufbar unter: https://www.icann.org/resources/pages/dnssec-qaa- 
2014-01-29-en. 

46 Kurose/Ross, Computer Networking: A Top-Down Approach, 6. Aufl. 2013, S. 5. 

#7 Clark, A Cloudy Crystal Ball — Vision of the Future, in: Davies et al. (Hrsg.), Proceed- 
ings ofthe Twenty-Fourth Internet Engineering Task Force, 1992, S. 539 (543). 

48 Vgl. IETF, RFC 6071, abrufbar unter: https://tools.ietf.org/html/rfc6071. 
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Jurisdiktionen zusammen. Verschiedene Akteure entscheiden über die Rah- 
menbedingungen und kritischen Komponenten des Internets, die jeweils die 
Sicherheit beeinflussen. Die Entwicklung normativ verbindlicher Standards 
und Prinzipien über ein „Völkerrechts des Netzes“ wird zwar bereits progressiv 
vorgedacht, der Wandel wird indes naturgemäß wohl noch einige Zeit in An- 
spruch nehmen.’ 


C. Sicherheitsgewährleistung 
durch Informationsverwaltungsrecht 


Eine direkte Steuerung der Sicherheitseigenschaften des Internets als prinzipi- 
ell globale Infrastruktur durch das Recht ist, wie aufgezeigt, derzeit wegen des 
fehlenden regulierenden Zugriffs und mangels einer zentralen Stelle nur schwer 
vorstellbar. Werden die Gewährleistung der Sicherheit von Netzen und Informa- 
tionssystemen aus der Wissensperspektive betrachtet und die Sicherheitsge- 
währleistung als Wissensproblem begriffen, so stellt sich die Frage, ob und wie 
das Recht einen Beitrag für den Umgang mit den Bedingungen disparaten Wis- 
sens und der epistemischen Unsicherheit leisten kann. 

Hier setzt das Informationsverwaltungsrecht an. In seiner Gesamtheit als das 
Recht des Umgangs mit Informationen durch die Verwaltung betrachtet, vermag 
das Informationsverwaltungsrecht zur Sicherheitsgewährleistung beizutragen, 
indem es in der Verwaltung den Prozess der Produktion und der Verteilung von 
spezifischen Informationen und spezifischem Wissen über die Internetsicherheit 
anleitet und so strukturell die Prävention und Detektion von und Reaktion auf 
Sicherheitsprobleme fördert. Dabei ist die Vorstellung, das Wissensproblem mit 
einem allwissenden Staat anzugehen, schon im Ansatz absurd.°' Es ist bereits 
ausgeschlossen, dass ein Staat allein alle Sicherheitsprobleme und Schwach- 


4 In tatsächlicher Hinsicht ist auf die Abhängigkeit der meisten Staaten von kommerziel- 
ler Hard- und Software und damit auch von deren Sicherheit hinzuweisen. Nach Dickow/ 
Bashir, Sicherheit im Cyberspace, APuZ 43-45/2016, S. 15 (16) sei nationale technologische 
Souveränität in der Informationstechnik schon deshalb eine Illusion, weil die Produktions- 
und Lieferketten globalisiert sind. Für die meisten Staaten würde souveräne Informations- 
technik wirtschaftlich auch keinen Sinn ergeben, da die heimischen Märkte zu klein für die 
nötigen Investitionen in Forschung, Entwicklung und Produktion seien. 

50 Zu den Elementen einer Verfassung des Internets Pernice, „Völkerrecht des Netzes“ — 
Konstitutionelle Elemente eines globalen Rechtsrahmens für das Internet, in: Biaggini/Dig- 
gelmann/Kaufmann (Hrsg.), Polis und Kosmopolis, FS Thürer, 2015, S. 576 (580 ff.); zur 
„aktuellen psychopolitischen Weltlage“ Sloterdijk, Zorn und Zeit, 4. Aufl. 2016, S. 282 ff. 

5! Siehe Lepsius, Steuerungsdiskussion, Systemtheorie und Parlamentarismuskritik, 1999, 
S. 17; zur These, dass das Wissen einer Gesellschaft verteilt ist und warum es besser genutzt 
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stellen im Internet erfassen kann. Aufgrund seiner epistemischen Funktion ist 
dagegen das Informationsverwaltungsrecht geeignet, den rechtlichen Umgang 
mit dem Wissensproblem in der Sicherheitsgewährleistung zu organisieren (1.). 
Es stellt mit den Kategorien Generierung, Transfer und Distribution einen recht- 
lichen Ordnungsrahmen für die Informationsverarbeitung und das Informations- 
handeln durch die Verwaltung bereit. Diese Kategorien können herangezogen 
werden, um den Beitrag des Informationsverwaltungsrechts zur Gewährleis- 
tung der Internetsicherheit zu untersuchen (II.). Erforderlich ist für die anschlie- 
Bende Untersuchung eine Erhellung der Begriffe Daten, Information, Wissen 
und Kommunikation (IIl.). 


I. Epistemische Funktion des Informationsverwaltungsrechts 


Während im Privatrecht den kontrahierenden Parteien die Verteilung und der 
Austausch von Informationen obliegt und sich daher im Zivilrecht tendenziell 
nur die Privatautonomie begrenzende und den strukturell unterlegenen Ver- 
tragspartnern schützende informationsbezogene Regeln finden, um Informati- 
onsasymmetrien zu nivellieren (etwa $ 119 oder $ 123 BGB, Verbraucherschutz- 
vorschriften und Aufklärungspflichten im Wertpapierhandel), muss sich im 
öffentlichen Recht in den geregelten Sachbereichen je eine Informationsord- 
nung etablieren, die Informationsdefizite und -asymmetrien für das politische 
und administrative System auszugleichen bezweckt.” Der Umgang mit Infor- 
mationen und Wissen wird daher zu den größten Herausforderungen des Rechts 
im Allgemeinen und der Neuen Verwaltungsrechtswissenschaft im Besonderen 
gezählt.°* Diese Herausforderung besteht insbesondere dort, wo der Staat das 
für ihn erforderliche Wissen nicht selbst generieren kann, wie dies bei privaten 
Diensten und privatisierter Infrastruktur der Fall ist. Insofern ist es Aufgabe des 
Regulierungsrechts als Privatisierungsfolgenrecht, die „veränderten Wissens- 
verhältnisse“ rechtlich einzufassen.°> 


werden kann, wenn es dezentral zur Planung verwendet wird, Hayek, The Use of Knowledge 
in Society, American Economic Review Vol. 35 (1945), S. 519 ff. 

5 Fleischer, Informationsasymmetrie im Vertragsrecht, 2001; vgl. Wielsch, Zugangs- 
regeln — die Rechtsverfassung der Wissensteilung, 2008, S. 29. 

5 Trute, Wissen — Einleitende Bemerkung, in: Röhl (Hrsg.), Wissen — Zur kognitiven 
Dimension des Rechts, Die Verwaltung, Beiheft 9, 2010, S. 11 (23). 

5 Hoffmann-Riem, Eigenständigkeit der Verwaltung, in: ders./Schmidt-Aßmann/Voß- 
kuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Band I, 2. Aufl. 2012, $ 10, Rn. 131; Trute, 
Wissen — Einleitende Bemerkung, in: Röhl (Hrsg.), Wissen — Zur kognitiven Dimension des 
Rechts, Die Verwaltung, Beiheft 9, 2010, S. 11 (22). 

5 Wollenschläger, Wissensgenerierung im Verfahren, 2009, S. 119; Augsberg, Informa- 
tionsverwaltungsrecht, 2014, S. 119; Herzmann, Konsultationen, 2010, S.35ff., allgemein 
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Gleichwohl sind im gesamten öffentlichen Recht Regelungen vorzufinden, 
die bestimmen, welcher Informationen und Daten der Staat bedarf, damit er die 
ihm übertragenen Aufgaben erfüllen kann, da staatliches Handeln stets Infor- 
mationen und Wissen voraussetzt. 

Im Informationsrecht als dem Rechtsgebiet, welches Informationen zum Ge- 
genstand hat, sind erste informationsrechtliche Leitvorstellungen und Systema- 
tisierungen entwickelt worden.’ Das Informationsrecht hat seine Wurzeln zwar 
im Datenschutzrecht, geht indes über dieses hinaus. Es ist insofern rechtsge- 
bietsübergreifend und kein erweiterter Datenschutz.’ Mit den spezifisch öffent- 
lich-rechtlichen Gegenständen befasst sich das Informationsverwaltungsrecht. 
Damit ist „die Gesamtheit jener öffentlich-rechtlichen Normen gemeint, die sich 
auf den staatlichen Umgang mit Informationen und Kommunikationshandeln 
beziehen und die das Informationsverhalten der Behörden untereinander sowie 
gegenüber dem Bürger regeln“. Es bezeichnet die „rechtliche Anleitung einer 
angemessenen Informationsverarbeitung der Administrative, die zur rechts- 
internen Wissenskonstruktion beiträgt [...]“.”° Insoweit erfüllen rechtliche Me- 
chanismen, etwa im Verfahrens-°° oder durch Organisationsrecht,‘' eine „viel- 
fach latent bereits vorhandene epistemische Funktion“. 

Dem Informationsverwaltungsrecht als reflexivem Recht geht es insoweit 
„weniger um die Herausarbeitung eines gänzlich neuartigen Phänomens als um 
die Einübung einer gegenüber der Tradition gewandelten Perspektive, um auf 
diese Weise eine Seite der verwaltungsrechtlichen Untersuchungsgegenstände 
in den Blick zu bekommen, die in der traditionellen Fokussierung nicht gänzlich 
fehlt, aber abgeschottet geblieben ist.“ Hoffmann-Riem formulierte in diesem 
Sinne den Imperativ informationsverarbeitenden und informierenden Verwal- 


Stohrer, Informationspflichten Privater gegenüber dem Staat in Zeiten von Privatisierung, 
Liberalisierung und Deregulierung, 2007, passim. 

56 Vgl. Kloepfer, Informationsrecht, 2002, S. V: „Das Informationsrecht ist das spezifisch 
informationsbezogene Recht der Informationsgesellschaft“. 

57 Albers, Rechtstheorie 33 (2002), 61 (66); Schmidt-Aßmann, Das allgemeine Verwal- 
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nung, in: Hoffmann-Riem et al. (Hrsg.), Reform des allgemeinen Verwaltungsrechts. Grund- 
fragen, 1993, S. 219 (242). 

5 Augsberg, Informationsverwaltungsrecht, 2014, S. 34. 

60 Wollenschläger, Wissensgenerierung im Verfahren, 2009, passim. 

61 Kluth, Die Strukturierung von Wissensgenerierung durch das Verwaltungsorganisa- 
tionsrecht, in: Spiecker gen. Döhmann/Collin (Hrsg.), Generierung und Transfer staatlichen 
Wissens im System des Verwaltungsrechts, 2008, S. 73 ff., passim; Schmidt-Aßmann, Ver- 
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tungshandelns: „Der Rechtswissenschaft ist aufgegeben, an Ordnungsmustern 
zu arbeiten, die die Generierung und den Transfer von Wissen ermöglichen und 
die Verarbeitung von Information und Wissen und die dafür erforderlichen 
kommunikativen Akte der Informationsverarbeitung in der und durch die Ver- 
waltung erleichtern (informationsverarbeitendes Verwaltungshandeln). Zugleich 
muss sie die Weitergabe von Informationen, etwa ihren Einsatz als Steuerungs- 
mittel, erfassen (informierendes Verwaltungshandeln), [sic] sowie die Regelun- 
gen verfeinern, die den Informationszugang der Bürger sichern.‘““* 

Indem das Informationsverwaltungsrecht auf die Wissensgenerierung und 
-verteilung von Akteuren Bezug nimmt, Kontexte beeinflusst, auf Relevanzen 
Einfluss nimmt, Rechte und Informationspflichten festlegt sowie die Reichweite 
des Daten- und Geheimnisschutzes mitbestimmt,° bietet es sich als Schlüssel 
für die Lösung des Wissensproblems bei der Gewährleistung der Internetsicher- 
heit an. Es geht mithin um die Untersuchung des relevanten Teils des Informa- 
tionsverwaltungsrechts des europäisch geprägten Rechts der Internetsicherheit 
hinsichtlich der Leitfrage, in welchem Umfang er die Lösung des Wissenspro- 
blems fördert und welche Potenziale einer gezielteren Anwendung oder Gestal- 
tung zur Sicherheitsgewährleistung das Informationsverwaltungsrecht bietet. 


II. Generierung, Transfer und Distribution von Wissen 
und sicherheitsrelevanten Informationen 


Herauszuarbeiten ist also, ob und wie sicherheitsrelevante Informationen und 
Wissen generiert, transferiert und distribuiert werden können. Die zugrundlie- 
genden sicherheitsspezifischen Relevanzkriterien lassen sich vorab am Infor- 
mationsbedarf der Sicherheitsverwaltung und der Anwender skizzieren.‘ 

Das Risikomanagement der zuständigen Behörden setzt zunächst voraus, 
dass Bedrohungslagen im Bereich der Netz- und Informationssicherheit von In- 
ternetinfrastrukturen erkannt werden.‘ Erforderlich ist also die Erhebung von 
Informationen über Probleme und Vorfälle, um überhaupt die Reaktions- und 
Abwehrbereitschaft bewerten zu können.‘® Darüber hinaus sind Wissen und In- 
formationen erforderlich, um Sicherheitsprobleme und Schwachstellen zu er- 


64 Hoffmann-Riem, Eigenständigkeit der Verwaltung, in: ders./Schmidt-Aßmann/Voßkuhle 
(Hrsg.), Grundlagen des Verwaltungsrechts, Band I, 2. Aufl. 2012, $ 10, Rn. 131. 

6 Trute, Wissen — Einleitende Bemerkung, in: Hans-Christian Röhl (Hrsg.), Wissen — Zur 
kognitiven Dimension des Rechts, Die Verwaltung, Beiheft 9, 2010, S. 11 (22). 

66 Siehe zu den informationsverwaltungsrechtlichen Funktionen von Generierung, Trans- 
fer und Distribution im Einzelnen $3 A., §4 A., § 5A. 

67 Zu den Aufgaben der Informations- und Wissensakteure $3 B. 

68 Vgl. Erwägungsgrund 23 ENISA VO 526/2013. 
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kennen und zu interpretieren. Die Sicherheitsprobleme müssen über ihr Er- 
kennen hinaus analysiert und gelöst werden. Es müssen Ableitungen gefolgert, 
Folgewirkungen antizipiert, Pläne entworfen und am Ende Entscheidungen ge- 
troffen werden. Das Handeln und Treffen von Entscheidungen oder Prognosen 
auf Grundlage von Wissen setzt eine jeweils von den Eigenschaften des jeweili- 
gen Gegenstands abhängige administrative Intelligenztechnik voraus, um In- 
formationen zu komplexeren Wissensebenen zu verdichten. Dynamischer Wis- 
sensbedarf besteht demnach ferner über Technologien des Internets und seiner 
Applikationen, über Abwehr- und Schutztechnologien sowie über die Bedin- 
gungen der Resilienz der Netze und Informationssysteme. In Kooperativen An- 
sätzen zur Sicherheitsgewährleistung ist der Informationsfluss zwischen den 
Akteuren von eminenter Bedeutung. 

Anhand des rechtlichen Instruments der Meldepflicht lässt sich die sicher- 
heitsspezifische Bedeutung der Generierung, des Transfers und der Distribution 
exemplifizieren. Bestimmte Unternehmen haben bei Vorliegen spezifischer Vo- 
raussetzungen IT-Sicherheitsvorfälle zu melden.‘ Die unmittelbaren Funktio- 
nen der Meldepflicht sind auf der Ebene der Erkennungs- (awareness) und Re- 
aktionsfähigkeit (incident response) zu verorten.”” Zum einen können sich die 
Behörden über die Meldeinformationen überhaupt erst ein Bild über die Sicher- 
heitslage verschaffen.’! Unter Sicherheitslage wird gemeinhin die Gesamtschau 
der Bedrohungen und der Einschränkungen der Sicherheit verstanden. Zum 
anderen soll der Inhalt der Meldung den Behörden die Möglichkeit geben, auf 
konkrete Sicherheitsvorfälle zu reagieren, indem sie Gegenmaßnahmen treffen 
und angemessene Prioritäten setzen (risk mitigation).’” Im IT-Bereich ist die 
Sammlung von Informationen über Sicherheitsvorfälle über Meldepflichten und 
deren Auswertung eine wichtige Methode für die Identifikation von Schwach- 
stellen. Informationen aus Meldungen sind mithin erforderlich, um Angriffs- 
szenarien zu antizipieren. Ein wirklicher Mehrwert entsteht, wenn ausgehend 
von einem akkurateren Lagebild Planungen unmittelbar verbessert und Strate- 
gien entworfen und umgesetzt werden können. Erst im Bewusstsein von 
Schwachstellen und den Auswirkungen von Angriffen können Alternativpläne 
vorbereitet und das Handeln angepasst werden.” Die aus den Meldungen ge- 


© Siehe §3 D I. 2. 

70 Dazu Feiler, Information Security Law in the EU and the U.S., 2011, S. 490 mit Verweis 
auf die Federal Communications Commission (FCC) 57 Fed. Reg. 7, 883, 7, 884 vom 05.03. 
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7! Lurz/Scheben/Dolle, BB 2015, 2755 (2757). 

72 COM(2013) 48 final, S. 3; BT-Drs. 18/4096, S. 47. 

73 Vgl. Gercke, CR 2014, 344 (348) in Bezug auf Lagebilder im Rahmen des Red-Teaming- 
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wonnenen Erkenntnisse können zudem bei der Erstellung der Sicherheitsanfor- 
derungen an die Unternehmen eingebracht werden (vgl. $ 109 Abs. 6 TKG).” 
Die auf Grundlage der Meldungen ermittelten präventiven Schutzmaßnahmen 
und Erkenntnisse können außerdem anderen Behörden, Betreibern oder auch 
anderen Anwendern von IT rechtzeitig zur Verfügung gestellt werden (infor- 
mation sharing), damit sie sich rechtzeitig schützen können. Der Ansatz des 
frühzeitigen Erkennens von Cyberangriffen sowie der proaktive Umgang mit 
Bedrohungen unterscheiden sich dabei nicht wesentlich von den intelligence- 
getriebenen Methoden anderer Analysezentren oder privater Sicherheitsdienst- 
leister.”” Zuletzt kann mit gemeldeten Informationen der Zweck verfolgt wer- 
den, Transparenz herzustellen (transparency). Die Marktgegenseite kann über 
Sicherheitsrisiken informiert werden. Durch den so stattfindenden indirekten 
Risikotransfer können Nutzer und Anwender Entscheidungen auf besserer In- 
formationsgrundlage treffen.” Das bei den Sicherheitsbehörden geschaffene 
entscheidungsrelevante Wissen kann demnach auch bei Herstellern, Nutzern, 
Anwendern, Betreibern und Anbietern sicherheitsbezogener Leistungen nutz- 
bar gemacht werden. 


III. Daten, Information, Wissen und Kommunikation 


Die bereits eingeführten Begriffe Information und Wissen sind für die weitere 
Untersuchung zu klären und in Verhältnis zu den anderen Grundbegriffen Da- 
ten und Kommunikation zu setzen. 

Der Begriff Information lässt sich nur schwer definieren.” Nach einer übli- 
chen Einstiegsdefinition kann Information verstanden werden als ein Unter- 
schied, der einen Unterschied macht (differenztheoretischer Informationsbe- 


74 Der Wortlaut der neuen Fassung der Norm hat eine normative Stärkung der Belange der 
Informationssicherheit und des Datenschutzes erfahren. Mit der Einbeziehung dieser Behör- 
den („Einvernehmen“ statt „Benehmen‘“) werden die fachliche Expertise des BSI und des 
BfDI stärker eingebunden. Das Zustandekommen und der Inhalt sind demnach vom Einver- 
ständnis der Behörden abhängig, die jeweils die Expertise aus den Meldepflichten gewinnen. 
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telligence Integration Center (CTIIC) im Wege eines Presidential Memorandum — Establish- 
ment of the Cyber Threat Intelligence Integration Center vom 25.02.2015 vorgegeben wor- 
den. Für ein privates Sicherheitsunternehmen Palantir, Palantir Cyber — An End-to-End 
Cyber Intelligence Platform for Analysis & Knowledge Management, 2013, S. 3£., online 
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griff). Gemeint ist damit, dass Informationen durch Selektivität und Selek- 
tionsleistungen gekennzeichnet sind.” Information ist kein Bestandteil der 
materiellen Welt. Damit eine Information existiert, muss es jemanden geben, 
der sie aufnehmen und verstehen kann.‘ Der Begriff der Information kann für 
die Zwecke dieser Arbeit funktional verwendet werden. Informationen können 
demnach als Wissen und kognitive Zustände beeinflussende Signale verstanden 
werden, die Handlungen und Entscheidungen beeinflussen können.®! 

Daten sind Zeichen oder Symbole, die einer Interpretation nicht zugänglich 
sind. Mit Datem sind also strikt formalisierte Werte gemeint, die in schemati- 
schen Abläufen beliebig reproduziert werden können. In Zahlen, Sprache, Text 
oder Bilder codiert, sind Daten vor allem von Maschinen (Computern) lesbar. 
Sie lassen sich infolge ihrer Vergegenständlichung eigenständig speichern und 
erfassen.®° Es ist gerade die Nichtinterpretierbarkeit von Daten, die den Unter- 
schied zu Informationen markiert.°* Häufig werden die Begriffe Information 
und Daten synonym verwendet.®° Gesetzesbestimmungen wie die in Art. 4 
Abs. 1 DS-GVO, nach dem „personenbezogene Daten“ alle Informationen be- 


78 Bateson, Geist und Natur, 4. Aufl., 1995, S. 123. Bateson verdeutlicht diesen Informati- 
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muss also nicht nur seine eigene Energie aufwenden, sondern auch noch interpretieren, wie 
er das tun soll.“ 

” Albers, Rechtstheorie 33 (2002), 61 (68). 

80 Beispiel: Dass Hamlet als Information existiert, ist nicht an die Anzahl der materiellen 
Träger, also der gedruckten oder digitalen Texte gebunden. Vgl. Lem, Summa technologiae, 
6. Aufl. 2003, S. 224. 

81 Ähnlich von Bogdandy, Die Informationsbeziehungen im europäischen Verwaltungs- 
verbund, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwal- 
tungsrechts, Band II, 2. Aufl. 2012, $ 25 Rn. 3; für Informationsbegriffe, die nicht auf einen 
konkreten menschlichen Verstand angewiesen sind, siehe Zech, Information als Schutzge- 
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3 Albers, Umgang mit personenbezogenen Informationen und Daten, in: Hoffmann- 
Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Band II, 
2. Aufl. 2012, § 22 Rn. 11. 
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zeichnen, die sich auf eine bestimmte oder bestimmbare natürliche Person be- 
ziehen, sind nicht Ausdruck einer reflektierten Regelungsentscheidung und 
spiegeln ein Verständnis aus Zeiten der Großrechenanlagen wider.°° 

Wissen kann als Bestand von Erkenntnissen begriffen werden. Den Begriff 
definierte bereits Platon, demzufolge Wissen eine wahre und begründete Über- 
zeugung ist.°’ Hier kann aber vorliegend keine universal gültige Definition von 
Wissen in Anspruch genommen werden; vielmehr kommt es auf den zweck- 
dienlichen Gebrauch der Bestimmung an. Wissen ist Faktor und Produkt eines 
(Erfahrungs-)Kontextes und führt über die Summe aller Informationen hin- 
aus.® Wissen besteht auch in kognitiven Erwartungen, die Informationen den 
Überraschungseffekt nehmen. Wissen ist zudem relativ zeitbeständig und durch 
eine prinzipielle Lernfähigkeit und -bereitschaft geprägt bzw. Bedingung für 
dieselbe.°” Wissen stellt mithin einen dynamischen Prozess dar, in dem durch 
Lernvorgänge neue oder revidierte Wissensbestände entstehen können. Dem- 
zufolge ist Wissen als Bestand von Informationen zu verstehen, der eine organi- 
sierte oder systematisierte Form aufweist. Informationen gehen in Wissen über, 
sie werden zu Wissen „veredelt“?! Schon jetzt sei angedeutet, dass der Erwerb 
von Wissen ein zentrales Ziel der mit Netz- und Informationssicherheit befass- 
ten Behörden und Agenturen ist.’ 


86 Albers, Umgang mit personenbezogenen Informationen und Daten, in: Hoffmann- 
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Kommunikation als gemeinschaftsbezogenes (com-municatio) Verständi- 
gungshandeln bezeichnet im verwaltungsrechtlichen Kontext einen Transfer 
selegierter Informationen. Gelungene Kommunikation setzt das Verständnis 
des Empfängers der vom Sender mitgeteilten Information voraus.” Da Verwal- 
tung rechts- und folglich sprachgebunden ist, kann sie von vorneherein als 
Kommunikationssystem verstanden werden, sodass jede verwaltungsbezogene 
Handlung, d.h. auch die Rezeption und Produktion von Recht, immer eine sol- 
che der Verarbeitung von Information und Wissen ist.?* 


3 Vesting, Die Bedeutung von Information und Kommunikation für die verwaltungs- 
rechtliche Systembildung, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), Grund- 
lagen des Verwaltungsrechts, Band II, 2. Aufl. 2012, $ 20 Rn. 30. 

94 So Vesting, Die Bedeutung von Information und Kommunikation für die verwaltungs- 
rechtliche Systembildung, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), Grund- 
lagen des Verwaltungsrechts, Band II, 2. Aufl. 2012, § 20 Rn. 30 mit Verweis auf Luhmann, 
Organisation und Entscheidung, 2000, S. 57. 


§ 3 Generierung von Informationen über die Netz- 
und Informationssicherheit 


Die Generierung von Informationen über die Sicherheit von Netzen und Infor- 
mationssystemen dient der Erfüllung verfassungsrechtlicher Pflichten zur Pro- 
duktion sicherheitsrelevanter Informationen (A.). Wahrgenommen werden diese 
Pflichten durch administrative Wissensakteure auf europäischer und deutscher 
Ebene, zu denen nicht nur die Sicherheitsbehörden zu zählen sind, sondern auch 
Datenschutzbehörden und Computer-Notfallteams (B). Die Quellen für die Ge- 
nerierung von Informationen im Bereich der Informationstechnik und Telekom- 
munikation ergeben sich aus dem die Netz- und Informationssicherheit betref- 
fenden Unionsrecht und den entsprechenden Einordnungen im nationalen Recht. 
Diese Quellen sind insbesondere Betreiber kritischer Infrastrukturen, Telekom- 
munikationsnetzbetreiber und -diensteanbieter, Digitale Dienste und Tele- 
medien sowie Verantwortliche im Sinne des Datenschutzrechts (C.). Die Unter- 
nehmen haben Informationen entweder von sich aus beizubringen oder sie wer- 
den über Informationsbefugnisse erhoben. Die Übernahme verwaltungsexternen 
Wissens im Wege der Kooperation mit Privaten ist ein wichtiges Instrument der 
staatlichen Wissensgenerierung (D.). Grenzen der Informations- und damit 
Wissensgenerierung folgen aus dem Datenschutz (E.) und dem Schutz unter- 
nehmensbezogener Daten (F.). 


A. Funktion der Informationsgenerierung 
für die Sicherheitsgewährleistung 


Die Netz- und Informationssicherheit stellt keine exklusive Staatsaufgabe dar. 
Ein staatliches Monopol für Internetinfrastrukturen ist rechtlich nicht veran- 
kert. Vornehmlich tragen Private zur Gewährleistung der Internetsicherheit bei. 
Verfassungsrechtliche Pflichten zur Informationsgenerierung durch den Staat 
und die Europäische Union zur Sicherheitsgewährleistung folgen jedoch aus 
Schutzpflichten zur Informationsgewinnung (1.) und aus der Gewährleistungs- 
verantwortung für Internetinfrastrukturen (Il.). 


32 __$3 Generierung von Informationen über die Netz- und Informationssicherheit 
I. Schutzpflicht zur Informationsgewinnung 


Mit der Konstitutionalisierung der Rechtsordnung sind aus den Grundrechten 
zur ursprünglichen subjektiv-rechtlichen Abwehrfunktion weitere Dimensio- 
nen hinzugekommen. Neben der Ausstrahlungswirkung, den Organisations- 
prinzipien, Leistungsansprüchen in Privatrechtsverhältnissen, Teilhaberechten 
und Verfahrensgarantien werden den Grundrechten auch Schutzpflichten ent- 
nommen. Grundrechtliche Schutzpflichten zielen auf den Schutz vor Privaten. 
Die Grundrechte entfalten in mehrpoligen Konstellationen eine Horizontal- 
wirkung. Grundrechte sind nach der Rechtsprechung des Bundesverfassungs- 
gerichts nicht nur Abwehrrechte, sondern auch objektive Prinzipien, die den 
staatlichen Organen gebieten, sich schützend vor die grundrechtlichen Schutz- 
güter zu stellen.' Je gewichtiger der Schutzgegenstand, desto leichter fällt die 
Herleitung von Schutzpflichten. 

Im Unionsrecht hat der Europäische Gerichtshof Schutzpflichten für die 
Grundrechte bislang nicht anerkannt. Das Konzept der Schutzpflichten ist dem 
Gericht aber nicht fremd, da Art. 52 Abs. 3 GRCh den Gerichtshof dazu ver- 
pflichtet, zur Auslegung der Grundrechte die Rechtsprechung des Europäischen 
Gerichtshofs für Menschenrechte zu den entsprechenden EMRK-Grundrechten 
heranzuziehen. Ein Herleitungs- und Rechtsquellenproblem zur Begründung 
von unionrechtlichen Grundrechten besteht daher grundsätzlich nicht.” 

Für den Bereich des Internets ergibt sich eine mehrpolige Grundrechtskon- 
stellation. Die Betreiber von Internetinfrastrukturen und -diensten sind über- 
wiegend Private, die durch ihre Tätigkeit direkten oder indirekten Einfluss auf 
die Grundrechte Dritter nehmen. Der Staat hat im Ergebnis die grundrechtli- 
chen Interessen sowohl der Nutzer als auch der Betreiber zu schützen. Aktiviert 
wird diese Schutzpflicht jedoch erst, wenn eine Gefährdungslage besteht, aus 
der Handlungspflichten abgeleitet werden können. Gefährdungen bestehen für 
verschiedene Grundrechte, welche sich in ihrer digitalen Dimension online 
realisieren.” Zunehmend wird das Internet als größeres Ganzes verstanden, wo- 
durch es als solches zum Schutzgegenstand aufgewertet wird. Das Bundesver- 
fassungsgericht hat anerkannt, dass zum Gehalt des Grundrechts auf Gewähr- 
leistung des menschenwürdigen Existenzminimums gehört, die Nutzung von 
Informations- und Kommunikationstechnologien zu ermöglichen. Das Sozial- 
staatsgebot halte den Gesetzgeber an, die soziale Wirklichkeit zeit- und reali- 
tätsgerecht zu erfassen.* Auf einer Linie mit der bisherigen Rechtsprechung des 


1 BVerfGE 39, 1 (42); BVerfGE 85, 191 (212). 
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Bundesgerichtshofs zum Nutzungsausfallschaden, nach der eine Entschädigung 
nur gefordert werden kann, wenn es sich bei einem entzogenen Gegenstand um 
ein „Wirtschaftsgut von zentraler Bedeutung für die eigene Lebensführung“ 
handelt, erkannte das Gericht die „zentrale Bedeutung“ des Internets an und 
erweiterte die Kategorie des normativen Schadens dahin gehend, dass in der 
fehlenden Nutzungsmöglichkeit eines Internetanschlusses ein konkreter Ver- 
mögensschaden gesehen werden kann.’ 

Doch eine Schutzpflicht kann erst dann greifen, wenn Gefahren erkannt wer- 
den. Da ein Großteil der Internetinfrastrukturen von Privaten betrieben wird, 
ist für die öffentlichen Stellen eine Gefährdungslage nicht ohne Weiteres er- 
kennbar. Die Aktivierung einer etwaigig bestehenden Schutzpflicht setzt also 
voraus, dass die epistemische Lücke geschlossen und dem Mangel an Eigen- 
informationen abgeholfen wird.° Insoweit folgt aus der Schutzpflicht, dass eine 
Informationsbasis aufzubauen ist, die es erlaubt, sie auch wahrnehmen zu kön- 
nen. Dieses Gebot der Risikovorsorge ist den Schutzpflichten insbesondere im 
Bereich der Technik und der damit verbundenen Gefahren und Risiken entnom- 
men worden.’ Der Begriff Vorsorge meint die zeitliche Vorverlegung hoheit- 
lichen Handelns, bei der „der Staat sein eigenes Unwissen reflektiert und sich 
und/oder Private dazu verpflichtet, die eigenen Mittel der Wissensgewinnung 
permanent zu aktualisieren“.® 

Eine andere Frage ist, wie die aus der Schutzpflicht abgeleitete Risikovorsor- 
ge erfüllt werden kann. Es besteht ein Kontinuum mit denkbaren Handlungsfor- 
men und Kriterien. In Bezug auf eine unsichere Informationsbasis reicht dieses 
von der bloßen Schaffung eines rechtlichen Rahmens für die freiwillige Infor- 
mationsweitergabe bis hin zu klassischen finalen Informationsbefugnissen.’ 
Der Ableitung konkreter Handlungspflichten ist indes Sache des Gesetzgebers, 
dem die Einschätzungs-, Beurteilungs- und Gestaltungsprärogative zusteht und 
dem ein Prognosespielraum zukommt.!" Die Lehre vom Vorbehalt des Gesetzes 
gilt auch für die Erfüllung grundrechtlicher Schutzpflichten.'! Für die Verwal- 
tung bedarf es daher auf der Anwendungsebene einer gesetzlichen Grundlage 


> BGHZ 196, 101. 

6 Möllers/Pflug, Verfassungsrechtliche Rahmenbedingungen des Schutzes kritischer 
IT-Infrastrukturen, in: Kloepfer (Hrsg.), Schutz kritischer Infrastrukturen, 2010, S. 47 (59). 

7 Kugelmann, Polizei- und Ordnungsrecht, 2. Aufl. 2012, S.31 Rn. 33: „Risikovorsorge 
kann durch grundrechtliche Schutzpflichten geboten sein.“ Kritisch Lepsius, Risikosteue- 
rung im Verwaltungsrecht, in: VVDStRL 63 (2004), S. 264 (301 ff.). 

8 Möllers, Der vermisste Leviathan, 2008, S. 85. 

° Im Zusammenhang mit dem Grundrecht auf Vertraulichkeit und Integrität informations- 
technischer Systeme Hoffmann-Riem, JZ 2008, 1009 (1011). 

10 Dazu BVerfGE 53, 257 (293). 

1 Wahl/Masing, JZ 1990, 553 (555). 
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für die Informationsbefugnisse, zumal sich eine Ausübung solcher Befugnisse 
für die Betreiber von Infrastrukturen als Grundrechtseingriff auswirkt.'? 

Zu bedenken ist, dass ein Mehr an Informationen nicht nur zu Sicherheitsge- 
winnen führt, sondern auch neue Gefährdungslagen mit sich bringt, da zum 
Schutz von Grundrechten wiederum die Grundrechte Dritter beschränkt wer- 
den. Festzuhalten ist aber, dass für eine das Untermaßverbot beachtenden An- 
wendung dieser Schutzpflichtenkonzeption zumindest ein rechtlicher Rahmen 
gefordert werden kann, der dem grundrechtsverpflichteten Staat ein Instrumen- 
tarium zur Wissensgenerierung bereitstellt. Da der Staat mit seinen Gewalten 
als Akteursmehrheit begriffen werden muss,’ hat dieser Rechtsrahmen eine 
jeweils unterschiedliche Aufgabe zu erfüllen. Der Gesetzgebung müssen Infor- 
mationen zur Verfügung gestellt werden, die sie benötigt, um ihrer Pflicht zur 
Beobachtung dertatsächlichen Verhältnisse nachzukommen. '* Die Informations- 
basis bildet die Voraussetzung dafür, Schutzpflichten wahrnehmen zu können. 
Die juristischen Entscheidungen im Bereich der Exekutive und Administrative 
sind informationsverarbeitende Prozesse und ebenso auf eine Informationsbasis 
angewiesen, um Sachverhalte akkurat zu erfassen und ihrer Pflicht zu fehler- 
freien Ermessensentscheidungen zu entsprechen. 


II. Gewährleistungsverantwortung 


Auf hoher Abstraktionsstufe angesiedelt ist die Idee und Konzeption der Ge- 
währleistungsverantwortung, die beschreibt, dass der Staat bzw. eine Rechtsge- 
meinschaft wie die Europäische Union nach der Öffnung zur pluralen Verwirk- 
lichung der Daseinsvorsorge ein „besonders verpflichteter Akteur“ bleibe." 
Dabei handelt es sich um eine Deutungsfolie für weitere, teleologische Wertun- 
gen aus der staatstheoretischen Diskussion, in der Staatlichkeit vor dem Hinter- 
grund verschiedener „Paradigmen von Regulierung“ verhandelt wird. Zwei 
zentrale Ansätze sind hier im Rahmen der Privatisierungsdebatte die Privatisie- 
rungsfolgenverantwortung und in Fortsetzung sozialstaatlicher Konzeption die 
Idee der Vorsorge.'° Nach der Privatisierung setzte sich die Erkenntnis durch, 


12 Sonntag, IT-Sicherheit kritischer Infrastrukturen, 2002, S. 115. 

3 Spiecker gen. Döhmann, Rechtswissenschaft 2010, 247 (264, Fn. 77); zu den einzelnen 
verwaltungsrechtlichen Informationsgewinnungsakteuren Groß, Ressortforschung, Agentu- 
ren und Beiräte — zur notwendigen Pluralität der staatlichen Wissensinfrastruktur, in: Röhl 
(Hrsg.), Wissen — Zur kognitiven Dimension des Rechts, Die Verwaltung, Beiheft 9, 2010, 
S. 135 (138 ff.). 

14 Zum Beispiel BVerfGE 88, 203 (263); Trute, Wissenschaft und Technik, in: Isensee/ 
Kirchhof (Hrsg.), HbStR, Band IV, 3. Aufl. 2006, $ 88 Rn. 38. 

15 Franzius, Gewährleistung im Recht, 2009, S. 121. 

16 Möllers, Der vermisste Leviathan, 2008, S. 81 ff. (82). 
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dass dem Staat eine Rückfallposition zukommen muss, wenn der durch die Li- 
beralisierung geschaffene Markt seiner Aufgabe nicht gerecht wird. Das Regu- 
lierungsverwaltungsrecht und der Wettbewerb stünden nicht in einem Wider- 
spruch, sondern in einem Verhältnis der Ermöglichung.” 


1. Europäische Dimension 


Sowohl die europarechtlichen Privatisierungs- und Liberalisierungsverpflich- 
tungen als auch die bestehenden Regulierungen'® machen deutlich, dass die eu- 
ropäischen Verträge keinen (interventionistischen) Wohlfahrtsstaat bilden. 
Gleichwohl ist der Union die Daseinsvorsorge nicht fremd. Nur die Realisierung 
erfolgt in Ermangelung von Benennungen im EUV und AEUV zu Fragen der 
Netz- und Informationsinfrastruktur durch eine Fülle sekundärrechtlicher Vor- 
gaben, die dann aber immer eher als konkrete politische Einigungen und Kom- 
promisse zu verstehen sind denn als funktional verfassungsrechtliche Struktur- 
vorgaben mit dem Ziel, die endogenen gesellschaftlichen Potenziale für die 
Verfolgung öffentlicher Zwecke nutzbar zu machen.'? 

Dass das Gemeinwohl nicht nur eine ridiküle Schimäre, sondern auch ein 
dogmatischer Rechtsbegriff und ein Tatbestandsmerkmal in der europäischen 
Rechtsordnung ist, beweist Art. 52 Abs. 1 S.2 GRCh. Grundrechtseinschrän- 
kungen dürfen nur vorgenommen werden, wenn sie „dem Gemeinwohl dienen- 
den Zielsetzungen [...] entsprechen“? Eine positivrechtliche Anerkennung ei- 
nes Unionsgemeinwohls als Zweck findet sich in Art. 17 Abs. 1 S. 1 EUV. Die 
Kommission ist Förderin und Hüterin der „allgemeinen Interessen der Union 
und ergreift Initiativen zu diesem Zweck“. In wirtschaftlicher Hinsicht erkennt 
das Unionsrecht in Art. 106 Abs. 2 AEUV Grenzen der Anwendung der Verträ- 
ge für Unternehmen an, die mit „Dienstleistungen von allgemeinem wirtschaft- 
lichem Interesse“ betraut sind.”' Im Beihilferecht wird ebenfalls die Vorstellung 
eines höheren Unionsinteresses deutlich. Art. 107 Abs. 3 lit. b und c AEUV ma- 


17 Möllers, Der vermisste Leviathan, 2008, S. 83. 

18 Fehling, AöR 121 (1996), 60 (66). 

19 Vgl. zu diesem Gedanken Voßkuhle, Beteiligung Privater an der Erfüllung öffentlicher 
Aufgaben und staatliche Verantwortung, in: VVDStRL 62 (2003), S. 266 (307). 

20 In der französischen und englischen Sprachfassung „des objectifs d'intérêt général re- 
connues par l’Union“ bzw. „objectives of general interest recognised by the Union“. Vgl. auch 
Art. 17 Abs. 1S.2 GRCh, wonach Enteignungen nur „aus Gründen des öffentlichen Interes- 
ses“ erfolgen dürfen. Zu den „zwingenden Gründen des Gemeinwohls“ als ungeschriebenem 
Rechtfertigungsgrund im Rahmen der Grundfreiheiten EuGH, Rs. 120/78, Rn. 8 — Cassis de 
Dijon. 

2! Die Kommission definiert die Dienstleistungen als marktbezogene Tätigkeiten, „die im 
Interesse der Allgemeinheit erbracht und daher von den Mitgliedstaaten mit besonderen Ge- 
meinwohlverpflichtungen verbunden werden“. Siehe Mitteilung der Kommission zu den 
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chen Ausnahmen vom Beihilfeverbot zur Förderung des „gemeinsamen europä- 
ische[n] Interesses“. Dem Gemeinwohl ist nach Art. 309 AEUV schließlich 
auch die Europäische Investitionsbank verpflichtet.” Art. 14 AEUV lässt sich 
entnehmen, dass der Union und den Mitgliedstaaten eine geteilte Verantwor- 
tung für die im Europarecht so genannten Dienste von allgemeinem wirtschaft- 
lichem Interesse zugewiesen ist. Somit können den europäischen Instrumen- 
ten der (Gewährleistungs-)Verantwortung die allgemeinen Wettbewerbsregeln 
und die auf den Kompetenzgrundlagen ergangenen sekundärrechtlichen Maß- 
nahmen zur Liberalisierung, Regulierung und Harmonisierung zugeordnet 
werden. Das Protokoll Nr. 26 zählt die „Sicherheit“ dieser Dienste ausdrücklich 
zu den gemeinsamen Werten der Union.” 

Auf der europäischen Grundrechtsebene geht eine gewisse Ausstrahlung von 
Art. 36 GRCh aus, der den Zugang zu Dienstleistungen von allgemeinem wirt- 
schaftlichem Interesse anerkennt und achtet. Aus dem allgemeinen Recht auf 
„gute Verwaltung“, der sich auch aus Art. 41 GRCh ergibt, wird eine weitere 
unionsrechtlich normierte Verankerung der „kognitiven Grundlagen des Staats- 
handelns“ abgeleitet.” 

Auf sekundärrechtlicher Ebene im Bereich der Telekommunikation wie der 
Netz- und Informationssicherheit werden die verfolgten öffentlichen Interessen 
zum Teil reflektiert. 

Die telekommunikationsrechtliche Rahmen-RL 2002/21/EG, die allgemeine 
materiell-rechtliche und prozedurale Bestimmungen enthält, setzt voraus, dass 
durch die Vorgaben öffentliche Interessen verfolgt werden, indem eine Telekom- 
munikationsordnung erschaffen wird, die eine flächendeckende Versorgung si- 
cherstellt.° Als politisches Ziel und regulatorischen Grundsatz in Art. 8 Abs. 4 
lit. f Rahmen-RL fördern die nationalen Regulierungsbehörden die Interessen 
der Unionsbürger, indem sie sicherstellen, dass die Integrität und Sicherheit der 
öffentlichen Kommunikationsnetze gewährleistet sind. Neben dem Telekom- 
munikationsrecht steht die NIS-RL als Ganze für eine dem europäischen Inter- 


Leistungen der Daseinsvorsorge in Europa („Daseinsvorsorgemitteilung‘“), ABl. EU 2001 C 
17/4, Rn. 14. 

22 Jardet, in: von der Groeben/Schwarze/Hatje (Hrsg.), Europäisches Unionsrecht, 
Band 4, 7. Aufl. 2015, AEUV, Art. 309, Rn. 4. 

3 Franzius, Gewährleistung im Recht, 2009, S. 549; Dörr, Die Anforderungen an ein 
zukunftsfähiges Infrastrukturrecht, in: VVDStRL 73 (2013), S. 323 (335 f.); vgl. BVerfGE 
123, 267 (294). 

24 Vgl. Art. 1 und 2 des „Protokolls (Nr. 26) über Dienste von allgemeinem Interesse“, 
ABI. EU 2012 C 326/308. 

25 Augsberg, Informationsverwaltungsrecht, 2014, S. 42 (Fn. 12). 

2 Kühling, Europäisches Telekommunikationsverwaltungsrecht, in: Terhechte (Hrsg.), 
Verwaltungsrecht der Europäischen Union, 2011, $ 24 Rn. 28, 70. 
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esse dienende Wissensgenerierung. Die durch sie geschaffenen Informations- 
kooperationsstrukturen dienen der Erkennungs- und Reaktionsfähigkeit hin- 
sichtlich der Gefahren für die Netz- und Informationssicherheit auf EU-Ebene.”’ 

Damit lässt sich festhalten, dass im Europarecht die Verantwortung für hoch- 
rangige, allgemeine Interessen als solche anerkannt ist, die Gewährleistung in- 
des nur schwach durch originäre, primärrechtliche Leistungspflichten determi- 
niert wird. Die Sicherheit der Netz- und Informationsinfrastruktur ist als Bedin- 
gung der Möglichkeit der Unionspolitiken vorausgesetzt und die Verantwortung 
dafür wird durch das Sekundärrecht der Internetsicherheit ausgeformt.”® 


2. Grundgesetz 


Dem Grundgesetz lassen sich im Vergleich zum Unionsrecht konkretere, an den 
Staat gerichtete Aufträge zur Gewährleistung der Internetsicherheit entnehmen. 
Informationspflichten für den Staat ergeben sich zum einen daraus, dass we- 
sentliche Internetinfrastruktur ein grundrechtliches Schutzgut sind (a), und zum 
anderen aus der in Art. 87f GG zum Ausdruck kommenden Gewährleistungs- 
verantwortung für Telekommunikationsdienstleistungen (b). 


a) Internetinfrastruktur als grundrechtliches Schutzgut 


Das allgemeine Persönlichkeitsrecht (Art.2 Abs. 1 in Verbindung mit Art. 1 
Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit 
und Integrität informationstechnischer Systeme. Das Bundesverfassungsgericht 
hat dieses Grundrecht als besondere Ausprägung des allgemeinen Persönlich- 
keitsrechts erkannt.”” „Insbesondere das Internet als komplexer Verbund von 
Rechnernetzen“ und „komplexe informationstechnische Systeme“ begründeten 
für den Einzelnen neben neuen Möglichkeiten neue Gefährdungen.’ Die Ge- 
samtbetrachtung der Entscheidung des Bundesverfassungsgerichts ergibt, dass 
das Grundrecht primär den Einzelnen vor dem staatlichen Zugriff auf Systeme 
wie Personalcomputer schützt.’ Eine technische Vernetzung setzt der grund- 


27 Vgl. zum Bedarf Mitteilung der Kommission zum Schutz kritischer Informationsinfra- 
strukturen (CIIP) v. März 2011, KOM(2010), 245 und Schlussfolgerungen des Rates vom 
31.05.2010 zur Mitteilung „Eine digitale Agenda für Europa“ (101310/10). 

28 Vgl. auch Kommission, Wachstum, Wettbewerbsfähigkeit, Beschäftigung — Herausfor- 
derungen der Gegenwart und Wege ins 21. Jahrhundert — Weißbuch (1993), KOM(93) 700, 
Dezember 1993, S. 82, die eine transeuropäische Telekommunikation als konstitutive Voraus- 
setzung für einen gemeinsamen Informationsraum ansieht. 

2 BVerfGE 120, 274 (303); zur Kritik an der Konzeption dieses Grundrechts Hornung, 
CR 2008, 299 (301 f). 

30 BVerfGE 120, 274 (304). 

31 Vgl. BVerfGE 120, 274 (314). 
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rechtliche Schutz der Integrität und Vertraulichkeit informationstechnischer 
Systeme nicht voraus.” Anders als der Name des Grundrechts vermuten lässt, 
der immerhin mit der Integrität und Vertraulichkeit zwei der Schutzziele der 
Netz- und Informationssicherheit beinhaltet, kann aus ihm keine normative 
Aussage darüber abgeleitet werden, ob über die abwehrrechtliche Schutzdimen- 
sion hinaus aus der Gewährleistung auch eine grundrechtliche Schutzpflicht für 
Internetinfrastrukturen folgt und eine Pflicht besteht, über die Sicherheitslage 
staatlicherseits Informationen zu erheben. 

Das Internet als zusammenhängende, vernetzte Infrastruktur erscheint als 
Ganzes zu wenig konturiert, als dass es als ein einen normativen Zweck erfül- 
lendes Schutzgut bezeichnet werden könnte. Gefragt ist also nach einem norma- 
tiv greifbaren Verständnis von Infrastruktur. 

Nach einer funktionalen Definition kann eine Infrastruktur verstanden werden 
als „Gesamtheit aller Mittel [...], die der Überwindung von Entfernungen dienen 
und dadurch die Integration eines Raumes bewirken. Aus ihrer Basisfunktion für 
die Herstellung sozialer, wirtschaftlicher und politischer Einheit folgt, dass sie 
notwendig darauf angelegt ist, allen Interessierten zugänglich und deshalb flä- 
chendeckend ausgelegt zu sein. Dies erfordert regelmäßig vernetzte Strukturen, 
ohne die raumüberwindenden Vorgänge von verschiedenen Punkten zu einer 
Mehrzahl anderer Punkte nicht denkbar sind“.” Für das Internet kann diese De- 
finition zumindest insofern herangezogen werden, als sie sich auf netzgebundene 
und nicht auf stationäre Infrastrukturen bezieht. Das Bundesverfassungsgericht 
hat in der betreffenden Entscheidung solche Infrastrukturen als grundrechtliches 
Schutzgut anerkannt, deren Bedrohung die Grundlagen oder den Bestand des 
Staates oder die Grundlagen der Existenz der Menschen gefährdet, zu denen 
auch die Funktionsfähigkeit wesentlicher Teile existenzsichernder öffentlicher 
Versorgungseinrichtungen gehöre.’* Daraus ergibt sich das Erfordernis spezifi- 
scher Relevanzkriterien, die vernetzte oder vernetzende Infrastrukturen erfüllen 
müssen, um als grundrechtliches Schutzgut in Betracht zu kommen, welches ver- 
fassungsrechtliche Pflichten zur Wissensgewinnung aktiviert. 

Wenn die dem Internet zugrundliegende Kommunikations- und Informati- 
onstechnologie nicht pauschal als „wesentlich“ eingestuft werden soll, bedarf es 
einer Prüfung, die diejenigen Bestandteile von informationstechnischen Infra- 
strukturen als „kritisch“ und damit als schutzbedürftig ermittelt, die für andere, 
gesellschaftlich relevante Infrastrukturen, die auf die Vernetzung mit dem In- 
ternet angewiesen sind, zwingend erforderlich sind.” 


32 BVerfGE 120, 274 (314). 

3 Hermes, Staatliche Infrastrukturverantwortung, 1998, S. 329. 

34 BVerfGE 120, 274 (328). 

35 Vgl. Feiler, Information Security Law in the EU and the U.S., 2011, S.28; Sonntag, 
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Ermitteln lässt sich die Kritikalität einer IT-Infrastruktur mit einer „dreifa- 
chen Relevanzprüfung“.°° Erstens muss die Informations- und Telekommunika- 
tionstechnologie zu einem Infrastrukturbereich gehören, der selbst als „kritisch“ 
einzustufen ist und einem betreffenden Sektor angehört, zweitens muss die 
Technologie systemrelevante Teile dieser Infrastruktur betreffen und drittens 
muss der fragliche Teil des Systems als kritisch klassifiziert werden können. 

Mit der Novellierung des BSIG durch das IT-Sicherheitsgesetz wurde auf ein- 
fachgesetzlicher Ebene der Begriff der kritischen Infrastrukturen erstmals 
durch eine Legaldefinition verrechtlicht. Eine Verordnung auf Grundlage des 
Gesetzes bestimmt erstmals, welche Dienstleistungen in den vom Gesetz be- 
nannten Sektoren, denen die Infrastrukturen zuzuordnen sind, wegen ihrer Be- 
deutung kritisch sind und welche für die Erbringung der Dienstleistungen erfor- 
derlichen Anlagen wegen ihres als bedeutend anzusehenden Versorgungsgrades 
aus gesamtgesellschaftlicher Sicht als kritische Infrastrukturen gelten.” 

Mit der Bestimmung kritischer Internetinfrastrukturen wie Internet Ex- 
change Points, Domain-Name-System-Diensteanbieter und Transport-Layer- 
Security-Name-Registries in der Verordnung sind konkrete Infrastrukturele- 
mente benannt, aus deren Bedeutung für das Funktionieren des Gemeinwesens 
die öffentliche Aufgabe erwächst, die Sicherheit dieser Elemente zu gewährleis- 
ten. Die Informationserhebung ist die notwendige Voraussetzung zur Sicher- 
heitsgewährleistung. 


b) Gewährleistungsverantwortung aus Art. 87f GG 


Art. 87f GG gibt dem Bund auf, im Bereich der Telekommunikation flächen- 
deckend angemessene und ausreichende Dienstleistungen zu gewährleisten. Der 
Artikel manifestiert verfassungsrechtlich die Reduzierung der ursprünglichen 
Erfüllungsverantwortung auf eine gewährleistende Garantie- und Regulie- 
rungsfunktion des Staates und ist, auch mit Blick auf Art. 14 AEUV, somit Aus- 
druck der Gewährleistungsverantwortung des Bundes.°® Den Abs. 1 und 2 des 
Art. 87f GG liegt der Grundsatz der Trennung von privatwirtschaftlich erbrach- 
ten Dienstleistungen und der vom Bund wahrzunehmenden Hoheitsaufgaben 
zugrunde. Dem Bund ist es durch das verfassungsrechtliche Gebot der Privati- 


IT-Sicherheit kritischer Infrastrukturen, 2005, S. 29 ff.,; Möllers/Pflug, Verfassungsrechtliche 
Rahmenbedingungen des Schutzes kritischer IT-Infrastrukturen, in: Kloepfer (Hrsg.), 
Schutz kritischer Infrastrukturen, S. 47 (51). 

36 Schulz/Tischer, ZG 2013, 339 (351). 

37 Siehe § 3 C. II. 2. 

38 Dörr, Die Anforderungen an ein zukunftsfähiges Infrastrukturrecht, in: VVDStRL 73 
(2013), S. 323 (337 ff.); Freund, NVwZ 2003, 408 (409); grundlegend Eifert, Grundversor- 
gung mit Telekommunikationsleistungen im Gewährleistungsstaat, 1998, S. 18 ff. 
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sierung des Art. 87f Abs. 2 S. 1 GG versagt, Telekommunikationsdienstleistun- 
gen selbst zu erbringen. Mit der Zuordnung der Verwaltungskompetenz zum 
Bund geht ein Privatisierungsverbot für den Kernbereich der Hoheitsaufgaben 
einher.” Die Hoheitsaufgaben im Bereich der Telekommunikation werden gem. 
Art. 87f Abs. 2 S. 2 GG in bundeseigener Verwaltung durchgeführt. 

Unter Telekommunikation kann in Fortentwicklung des Begriffs des Fern- 
meldewesens die körperlose Übermittlung von Informationen jeden Inhalts in 
der Weise verstanden werden, dass sie am Empfangsort wiedererzeugt wer- 
den.’ Nach Sinn und Zweck der Vorschrift sind auch die Errichtung des Tele- 
kommunikationsnetzes und die Bereitstellung von Endgeräten erfasst.*! Der 
Kompetenztitel des Art. 73 Abs. 1 Nr. 7 Alt.2 GG umfasst die „Regelung der 
technischen Seite der Errichtung einer Telekommunikationsinfrastruktur und 
der Informationsübermittlung mit Hilfe von Telekommunikationsanlagen“; ex 
negativo nicht erfasst sind hingegen „Regelungen, die auf die übermittelten In- 
halte oder die Art der Nutzung der Telekommunikation gerichtet sind“.*? 

Ein unmittelbarer sicherheitsspezifischer Regelungsgehalt lässt sich dem 
Wortlaut von Art. 87f GG nicht entnehmen. Bei Entstehung der Norm hatte der 
Gesetzgeber in erster Linie das Risiko vor Augen, Telekommunikationsunter- 
nehmen könnten aus ökonomischen Gründen insbesondere strukturschwache 
Gebiete nicht mit Telekommunikation zu angemessenen Preisen versorgen. 
Nicht ausgeschlossen ist es aber, auch weitere Gesichtspunkte hinsichtlich der 
Frage angemessener Dienstleistungen zu berücksichtigen. So können auch der 
Schutz und die IT-Sicherheit von Infrastrukturen zur Infrastrukturgewährleis- 
tungspflicht gezählt werden. Zu einer angemessenen Telekommunikationsver- 
sorgung gehört auch der Schutz vor der Beeinträchtigung der Kommunikation.” 
Die angemessene Absicherung der kritischen, also systemrelevanten Elemente 
der Infrastruktur ist erforderlich, da sonst die staatliche Verantwortung nur ru- 
dimentär erfüllt wäre. IT-Sicherheit ist insofern Element des Grundversor- 
gungsauftrags und der (E-)Daseinsvorsorge.“* 

Da verfassungsrechtlich eine Eigenerbringung ausgeschlossen ist, kann die 
Gewährleistungsverantwortung durchaus auch Formen der Erfüllungsverant- 


3 Gröpl, in: Gröpl/Windhorst/von Coelln (Hrsg.), Studienkommentar GG, 2. Aufl. 2015, 
Art. 87f, Rn. 7. 

40 BVerfGE 46, S. 120 (143). 

4 BT-Drs. 12/7269, S. 5; Sommer, Staatliche Gewährleistung im Verkehrs-, Post und Tele- 
kommunikationsbereich, 2000, S. 93. 
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2014, S. 17. 
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wortung einschließen, sodass private Betreiber und Anbieter legitim zu Sicher- 
heitsmaßnahmen verpflichtet werden können. Der gebundene Gesetzgeber 
und die gebundene Exekutive haben für die Bestimmung des Sicherheitsniveaus 
eine beträchtliche Einschätzungsprärogative.” Durch die alleinige Berechti- 
gung der Privaten für die Erbringung der Leistung nach eigener Handlungs- 
logik verbleibt der öffentlichen Hand jedoch ein dauerhafter Steuerungs- und 
Sicherungsauftrag, der sich zumindest darauf verdichtet, einen Rahmen organi- 
satorisch-institutioneller Art bereitzustellen, um zum einen eine kontinuierliche 
Beobachtung zu gewährleisten und zum anderen die Fähigkeit sicherzustellen, 
bei Fehlentwicklungen gesetzlich korrigierend einzugreifen.“ 

Als einfachgesetzlicher Steuerungsimpuls ist $2 TKG anzusehen, der das in 
§ 1 TKG angelegte Programm auffächert und die Art und Weise der Zielerrei- 
chung der telekommunikationsrechtlichen Regulierung vorgibt. Ziel der Regu- 
lierung ist gemäß § 2 Abs. 2 Nr. 9 TKG die Wahrung der Interessen der öffent- 
lichen Sicherheit. Dass die Sicherheit als Regulierungsziel aufgelistet ist, wird 
zwar zum Teil als „systematisch verfehlt“ angesehen.“ Mit Blick auf das Gebot, 
die Regulierung als hoheitliche Aufgabe wahrzunehmen, und vor dem Hinter- 
grund der vom Telekommunikationsbereich ausgehenden und denselben bedro- 
henden Gefahren und Risiken ist es aber nur folgerichtig, die Sicherheit als Re- 
gulierungsziel anzusehen und regulatorisch zu gewährleisten.” 

Damit stellt sich die Frage, ob die öffentliche Verantwortung für Netz- und 
Informationssicherheit auch die von den Infrastrukturnetzen zu trennenden 
transportierten Dienste umfasst. Dies betrifft die Trennung des Telekommuni- 
kations- vom Telemedienrecht.’° Da der Begriff der Telekommunikation in 
Art. 87f GG weiter gefasst ist als der dem TKG zugrundeliegende, könnte die 
These lauten, dass sich die Verantwortung insoweit auf die für Telemedienange- 
bote in Anspruch genommenen technischen Einrichtungen bezieht, als diese 
nicht den Inhalt der Kommunikation oder die wirtschaftsbezogenen Anforde- 
rungen betrifft.°! Gegen diesen Ansatz spricht, dass die Defizite in der Vertrau- 
lichkeit von Telemediendiensten (z.B. E-Mail) bei den Verbrauchern als be- 
kannt vorausgesetzt werden können und deren Entscheidungen für einen Dienst 


45 Vgl. auch Zuch/Schulz, Das Recht auf Internet als Grundlage der Online-Grundrechte, 
2013, S. 69 ff. 

46 Pieroth, in: Jarass/Pieroth, Grundgesetz, Art. 87f, Rn. 86. 

# Vgl. BVerfGE 93, 37 (74); Sonntag, IT-Sicherheit kritischer Infrastrukturen, 2005, 
S. 131 f. 

48 Manssen, Telekommunikations- und Multimediarecht, 36. Aufl. 2015, § 1 Rn. 10; Säcker, 
in: ders. (Hrsg.), TKG, 3. Aufl. 2013, § 2 Rn. 15. 

® Cornils, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, § 2 Rn. 1. 

50 Siehe § 3 C. 2. 

5! Vgl. Hoeren, NJW 2007, 801 (802). 
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im Zweifelsfall als Grundrechtsverzicht zu werten ist, der den Staat aus der 
Verantwortung nimmt. Sachgemäß scheint hier indes, dass sich die verfas- 
sungsrechtliche Verantwortung aufgrund der „Schlüsselrolle von Telemedien 
im Cyberraum“ auf die kritischen Teile bezieht.” Ohnehin legt $ 13 Abs. 7 TMG 
ein weites Verständnis von der Reichweite der Verantwortung nahe. Der gebo- 
tene Schutz technischer Einrichtungen ist dort weit zu verstehen und erstreckt 
sich über die gesamte genutzte Hardware, Software und Systemumgebung.” 
Die verfassungsrechtlich verankerte Gewährleistungsverantwortung umfasst 
demnach internetbezogene Telekommunikationsinfrastrukturen einschließlich 
kritischer Telemedieninfrastrukturen. 


B. Informations- und Wissensakteure 


Ob und in welchem Ausmaß der Wissensbedarf auf institutioneller Ebene ge- 
deckt werden kann und ob die erforderliche kognitive Infrastruktur für die mit 
NIS befassten Behörden besteht, ist an den organisationsrechtlichen Vorgaben 
zu bemessen. Bei der Ermittlung des Informationsbedarfs kann das Organisa- 
tionsrecht der Verwaltungen herangezogen werden.°* Die organisationsrechtli- 
che Perspektive erlaubt es, sich von der anthropozentrischen Perspektive zu lö- 
sen und so der Bedeutung des organisationalen Wissens Rechnung zu tragen.” 
Darunter ist das Wissen zu verstehen, „das nicht in den Köpfen der Menschen 


gespeichert ist, sondern in den Operationsformen, Artefakten und sonstigen 


Verkörperungen von Problemlösungskompetenz eines sozialen Systems“.”° 


Wissen ist demnach nicht lediglich als die kognitive Kompetenz von Individuen 


5 Vgl. BT-Drucks. 18/4096, 2. 

5 Gerlach, CR 2015, S. 581 (582). 

54 Vgl. zur Erweiterung der Überlegungen über das Verfahren mit organisationsrechtli- 
chen Arrangements Willke, Einführung in das systemische Wissensmanagement, 3. Aufl. 
2011, S. 27; Collin/Spiecker gen. Döhmann, Generierung und Transfer staatlichen Wissens 
im System des Verwaltungsrechts — ein Problemaufriss, in: ders./dies. (Hrsg.), Generierung 
und Transfer staatlichen Wissens im System des Verwaltungsrechts, 2008, S. 3 (17); zur Rol- 
le von Unionsagenturen im europäischen Wissensmanagement Kaiser, Wissensmanagement 
im Mehrebenensystem, in: Gunnar Folke Schuppert/Andreas Voßkuhle (Hrsg.), Governance 
von und durch Wissen, 2008, S. 217 (230); zur gesamtheitlichen Betrachtung der Rechts- 
dimensionen Möllers, Materielles Recht — Verfahrensrecht — Organisationsrecht, in: Trute/ 
Groß/Röhl/ders. (Hrsg.), Allgemeines Verwaltungsrecht — zur Tragfähigkeit eines Konzepts, 
2008, S. 489 (489 ff.). 

5 Vgl. Gärditz, Hochschulorganisation und verwaltungsrechtliche Systembildung, 2009, 
S. 90£. 

56 Willke, Dystopia: Studien zur Krisis des Wissens in der modernen Gesellschaft, 2002, 
S. 130. 
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zu begreifen, sondern unter Abstraktion der Zurechnung ausschließlich auf in- 
dividuelles Bewusstsein auch als organisationales Wissen.” Der Gedanke der 
Wissenszurechnung an sich ist auch dem positiven Verwaltungsrecht keinesfalls 
fremd. Der $48 Abs. 4 VwVfG ermöglicht der Verwaltung die Aufhebung eines 
rechtswidrigen Verwaltungsaktes, wenn „die Behörde von Tatsachen Kenntnis“ 
erhält, welche die Rücknahme rechtfertigen. Die Norm begründet zwar nicht 
wie der im Zivilrecht analog angewendete $ 166 Abs. 1 BGB die Wissenszu- 
rechnung zwischen Personen, setzt eine solche aber voraus.” Einer Wissenszu- 
rechnung lässt sich wohl kaum in praktischer Hinsicht entgegenhalten, dass 
einzelne Amtswalter keine reale Möglichkeit des Informations- und Wissens- 
austausches hätten. Die Wissenszurechnung darf zwar insgesamt nicht zu einer 
Fiktion werden, die juristische Personen weit über jede menschliche Fähigkeit 
hinaus belastet.” Technisch ist aber heutzutage jederzeit und prinzipiell von 
allen Orten ein intrabehördlicher Informationsaustausch durch elektronische 
Kommunikation möglich und Wissen beschaffbar.” 

Maßgeblich für die materiell-rechtliche Programmierung der Wissenspro- 
duktion sind vor den verfahrensrechtlichen Informationsbefugnissen, die noch 
untersucht werden, die Aufgaben- und Befugnisnormen.‘' Betrachtet werden 
daher im Folgenden solche europäischen (1.) und nationalen (II.) Behörden, die 
einen spezifischen Bezug zur Gewährleistung der Sicherheit von Netzen und 
Informationssystemen aufweisen. Polizei- und Strafverfolgungsbehörden wer- 
den daher nur behandelt, insoweit sie Akteure im NIS-Kooperationsnetz im 
Sinne des Art. 11 der NIS-RL sind. Die Computer Security Incident Response 
Teams sind als besondere Informations- und Wissensakteure in die Untersu- 
chung mit einzubeziehen (II.). 

Inwieweit die NIS-Akteure effektive wissensbasierte Organisationen bilden, 
ist noch nicht durch das Bestehen entsprechenden Organisationrechts determi- 
niert. Die jeweilige Stärke der Rolle als Informations- und Wissensakteur ist 
durch spezifische Informationsbeziehungen bedingt, die sich aus Kompetenz- 
zuweisungen, der föderalen Struktur, der Unterscheidung von innerer und 
äußerer Sicherheit und der etwaigen Trennung von Polizei- und Verfassungs- 
schutzbehörden bzw. vom Bundesnachrichtendienst einerseits sowie der Tren- 


5 Augsberg, Informationsverwaltungsrecht, S. 35; Luhmann, Die Wissenschaft der Ge- 
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nung der zivilen Sicherheitsbehörden von militärischen Einrichtungen anderer- 
seits ergeben.‘ Dies ist eine Frage des im weiteren Verlauf untersuchten inter- 
behördlichen Transfers von Informationen.‘ 


I. Europäische Institutionen 


3. Europäische Agentur für Netz- und Informationssicherheit 


Die wichtigste zivile Sicherheitsbehörde auf europäischer Ebene im Bereich der 
NIS ist die Europäische Agentur für Netz- und Informationssicherheit (ENISA). 
Sie wurde im Jahr 2004 errichtet, um zur Gewährleistung der Netz- und Infor- 
mationssicherheit innerhalb der Union beizutragen. Dem allgemeinen Trend 
im europäischen Verwaltungsrecht entsprechend wurde die bevorzugte Organi- 
sationsform der Agentur gewählt.‘ Im Jahr 2013 wurde die Rechtsgrundlage 
der ENISA neu gefasst.‘ Sie zielt darauf ab, die Agentur zu „stärken“, um auf 
die Entwicklung der Technik, des Marktes und des sozioökonomischen Um- 
felds mit den damit einhergehenden Herausforderungen zu reagieren.°’ 

Das Aufgabenprofil der ENISA ist vielfältig. Sie soll zur Gewährleistung ei- 
ner hohen und effektiven Netz- und Informationssicherheit innerhalb der Union 
beitragen und eine Kultur der Netz- und Informationssicherheit mitentwickeln.°® 
Zu den Zielen der ENISA gehört zuvörderst die Entwicklung und die Pflege von 
einem „hohen Niveau an Sachkenntnis“ (Art. 2 Abs. 1 ENISA-VO). Der Aufbau 
von Wissen ist nicht Selbstzweck, sondern das angesammelte Wissen soll den 
Mitgliedstaaten auf deren Ersuchen hin und den Organen der Union zur Verfü- 
gung gestellt werden (Art.3 Abs. 1 lit.b i) bzw. Art.3 Abs. 3 lit. f iii) ENI- 


62 Dazu Kutscha, Innere Sicherheit und Verfassung, in: Roggan/Kutscha (Hrsg.), Hand- 
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% Siehe § 4. 
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SA-VO). Die Unterstützung kann auch die Formulierung von Rechtsakten um- 
fassen (vgl. Art. 3 Abs. 1 lit. a ENISA-VO).® 


4. EU-Intelligence and Situation Centre 


Das EU-Intelligence and Situation Centre (EU INTCEN) ist eine 2003 inoffi- 
ziell gegründete nachrichtendienstliche Organisation der EU im Rahmen des 
Europäischen Auswärtigen Dienstes (EAD) im Sinne von Art. 27 EUV. Die 
Aufgaben von INTCEN sind unklar. Es wird davon ausgegangen, dass INTCEN 
nicht selbst Informationen generieren und erforschen kann. Es fungiert jeden- 
falls als europäische Plattform und Tauschzentrale für geheimdienstliche und 
nachrichtendienstliche Informationen.” Das beim Rat angesiedelte EU INTCEN 
ist weder dem Europäischen Parlament noch den nationalen Parlamenten re- 
chenschaftspflichtig. Die Informationskooperation basiert auf strikter Freiwillig- 
keit. 


II. Nationale Behörden 


1. Nationale Behörden für Netz- und Informationssicherheit 


Die Mitgliedstaaten haben nach Art. 6 der NIS-RL eine zuständige nationale 
Behörde für die Netz- und Informationssicherheit einzurichten. Es können meh- 
rere Behörden zuständig sein, doch nur eine Behörde hat als zentrale Anlaufstel- 
le zu fungieren. Die zentralen deutschen NIS-Behörden sind das Bundesamt für 
Sicherheit in der Informationstechnik (a) und die Bundesnetzagentur (b). Inso- 
weit der Datenschutz die Datensicherheit umfasst, sind auch die Datenschutz- 
behörden dem Bereich der Netz- und Informationssicherheit zuzuordnen (c). 


a) Bundesamt für Sicherheit in der Informationstechnik 


Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist in Deutsch- 
land die zentrale zivile und defensive Sicherheitsbehörde im Bereich der Sicher- 
heit der Informationstechnik. Das Amt ist aus der Zentralstelle für Chiffrier- 
wesen, einem Teil des Bundesnachrichtendienstes, hervorgegangen.’”! Organi- 
sationsrechtlich ist das BSI eine Bundesoberbehörde, die dem BMI untersteht 
($ 1S.1 und 3 BSIG) und damit nicht unabhängig, sondern in Zweifelsfällen 


© Vgl. auch Erwägungsgrund 68 NIS-RL. Kritisch zur Rolle von dezentralen Agenturen 
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70 Bergmann, in: Handlexikon der Europäischen Union, 5. Aufl. 2015, Eintrag INTCEN. 
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weisungsgebunden handelt.” Es ist nach $ 1 S.2 zuständig für die Informa- 
tionssicherheit auf nationaler Ebene. 

Das BSI fördert die Sicherheit in der Informationstechnik ($ 3 Abs. 1 S.1 
BSIG), worunter die Einhaltung bestimmter IT-Sicherheitsstandards zu verste- 
hen ist.” Die Informationstechnologie entwickelt sich rasant weiter und bringt 
Verwundbarkeiten und Angriffsvektoren mit sich. Im Recht, namentlich in 
Art. 91c Abs. 1 GG, findet diese Dynamik Berücksichtigung. Dort wird der Be- 
griff des „informationstechnischen Systems“ verwendet. Der Terminus erfasst 
sämtliche „technische Mittel zur Verarbeitung und Übertragung von Informati- 
onen“. Damit soll der Begriff bewusst für zukünftige, noch unbekannte Wei- 
terentwicklungen der Informationstechnologie offengehalten werden.” Infor- 
mationen zu sammeln und Wissen über Internetsicherheit zu generieren dient 
der Erfüllung sicherheitstechnischer Bedürfnisse. Dem breit gefächerten Auf- 
gabenspektrum ($ 3 Abs. 1 S.2 Nr. 1-15 BSIG) lassen sich wesentliche infor- 
mationsrechtliche Zuweisungen entnehmen, die hier interessierende kognitive 
Funktionen einnehmen. 

Das BSI nimmt im Bereich NIS eine hervorzuhebende Intelligence-Funktion 
(cyber intelligence) ein. Wesentliche Bedeutung für die kognitive Organisations- 
struktur des BSI ist gemäß $ 3 Abs. 1 Nr. 2 BSIG die Aufgabe der Sammlung 
und Auswertung von Informationen über Sicherheitsrisiken und Sicherheitsvor- 
kehrungen und der Zurverfügungstellung der gewonnenen Erkenntnisse für an- 
dere Stellen. Die Kenntnis über Sicherheitsschwachstellen und Bedrohungen ist 
unabdingbar, weil sich ein großer Teil der Gefährdungen schon durch einfache 
(administrative) Maßnahmen sowie durch den Einsatz verfügbarer Software- 
produkte vermeiden oder begrenzen lässt.’° Zudem ist das BSI als zentrale Mel- 
destelle bestimmt, sowohl nach $ 4 Abs. 1 BSIG für die Sicherheit der Informa- 
tionstechnik beim Bund als auch nach $ 3 Abs. 1 S. 3 Nr. 17 in Verbindung mit 
§ 8b Abs. 1 BSIG für Betreiber kritischer Infrastrukturen. Das Amt ist auch mit 
der Fortschreibung eines möglichst lückenlosen und systematischen Lagebildes 
beauftragt, dessen es bedarf, um eine Übersicht über den Status quo in der Netz- 
und Informationssicherheit auf nationaler Ebene zu erlangen. 

Im Zusammenhang mit der Informationstechnik in diesen kritischen Infra- 
strukturen übernimmt das Bundesamt erweiterte Aufgaben nach $ 8b Abs. 2 


7? Zur Frage der organisationsrechtlichen Unabhängigkeit unter § 4 F. II. 

B Siehe oben § 2 A. zum Begriff der IT-Sicherheit. 
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Nr. 1 bis 4 BSIG. Es sammelt für die Gefahrenabwehr wesentliche Informatio- 
nen, wie zu Sicherheitslücken, Schadprogrammen, zu erfolgten und versuchten 
Angriffen und der beobachteten Vorgehensweise, und wertet diese Informatio- 
nen aus. Es hat ferner die Informationen hinsichtlich ihrer potenziellen Auswir- 
kungen auf die Verfügbarkeit der kritischen Infrastrukturen zu analysieren. 
Dafür arbeitet die Behörde mit dem Bundesamt für Bevölkerungsschutz und 
Katastrophenhilfe (BBK) und den zuständigen Aufsichtsbehörden zusammen. 
Das Lagebild bezüglich der IT-Sicherheit hat das BSI kontinuierlich zu aktuali- 
sieren. 

Die Erforderlichkeit der Expertisegewinnung macht $3 Abs. 1 S.2 Nr. 14 
BSIG deutlich. Danach ist Aufgabe des BSI auch die „Beratung und Warnung“ 
des Bundes, der Länder und von Privaten (Hersteller, Vertreiber und Anwender) 
in Fragen der Sicherheit in der Informationstechnik. Die Beratungsfunktion des 
BSI hinsichtlich kritischer Infrastrukturen wurde mit der Novellierung des 
BSIG durch das IT-Sicherheitsgesetz gestärkt. Nach $ 3 Abs. 3 BSIG kann das 
BSI die Betreiber auf deren Ersuchen beraten und unterstützen. 


b) Bundesnetzagentur 


Die Bundesnetzagentur wurde ursprünglich als Regulierungsbehörde für Tele- 
kommunikation und Post auf Grundlage des Art. 87f Abs. 2 S.2 GG errichtet. 
Um später eine sektorübergreifende Regulierungsbehörde zu schaffen und den 
Zuständigkeitserweiterungen Rechnung zu tragen, wurde die Behörde anschlie- 
Bend in Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und 
Eisenbahnen umbenannt.” Die zentrale Aufgabenzuweisungsnorm für die 
Bundesnetzagentur ist § 116 TKG.” Danach nimmt sie die ihr nach dem TKG 
zugewiesenen Aufgaben und Befugnisse wahr. Der Agentur fällt insofern die 
Aufgabe zu, die für die jeweiligen Sektoren formulierten Regulierungsziele 
umzusetzen. Für den Bereich des Telekommunikationssektors sind das die Zie- 
le des § 2 Abs. 1 und Abs. 2 TKG, zu denen „die Wahrung der Interessen der 
öffentlichen Sicherheit“ gehört (§ 2 Abs. 2 Nr. 9 TKG).”” Das Aufgabenprofil der 
Bundesnetzagentur enthält daher nicht nur marktregulatorische Elemente. Die 


77 Berliner, Informationsbefugnisse der Bundesnetzagentur im Telekommunikationsrecht, 
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Behörde ist vielmehr auch mit ordnungsrechtlichen Befugnissen ausgestattet, 
was sie zu einer besonderen Aufsichtsbehörde macht.?® 


c) Datenschutzbehörden 


Die Aufsichtsbehörden für den Datenschutz sind nicht nur wichtige Wissensak- 
teure für den Datenschutz im herkömmlichen Begriffsverständnis, also für den 
Schutz von Rechtspositionen von Personen, sondern auch für die ursprüngliche 
Wortbedeutung, d.h. für den Schutz von Daten im Sinne der Informations- 
sicherheit. Die materiell-rechtlichen Pflichten aus $ 9 BDSG samt den zugehöri- 
gen Anlagen, Art. 17 RL 95/46/EG sowie Art. 32 DS-GVO, gemäß derer die 
Verarbeiter personenbezogener Daten geeignete technische und organisatori- 
sche Maßnahmen zu treffen haben, um ein dem Risiko angemessenes Schutz- 
niveau der Datensicherheit zu gewährleisten, machen Datensicherheit zu einem 
Kernanliegen des Datenschutzes. Im Vorfeld ihrer Tätigkeiten trifft die Daten- 
schutzbehörden eine Beobachtungspflicht. Um die neuesten Risiken und Schutz- 
maßnahmen zu kennen, „muss“ die Aufsichtsbehörde nach Art. 57 Abs. 1 lit. i) 
DS-GVO „maßgebliche Entwicklungen verfolgen, soweit sie sich auf den Schutz 
personenbezogener Daten auswirken, insbesondere die Entwicklung der Infor- 
mations- und Kommunikationstechnologie und der Geschäftspraktiken“. Die 
Expertisefunktion zeigt sich außerdem an den institutionellen Aufgaben der 
Aufsichtsbehörden. Die Aufsichtsbehörden haben „zu allen Fragen, die im Zu- 
sammenhang mit dem Schutz personenbezogener Daten stehen“, an die mit- 
gliedstaatlichen Gewalten oder die Öffentlichkeit von sich aus oder auf Anfrage 
Stellungnahmen zu richten (Art. 58 Abs. 3 lit. b DS-GVO). 


2. Nachrichtendienstliche Einrichtungen 


Die Nachrichtendienste sind keine NIS-Behörden im Sinne von Art. 8 NIS-RL. 
Gleichwohl tragen der Bundesnachrichtendienst (a) und das Bundesamt für Ver- 
fassungsschutz (b) zur Informations- und Erkenntnisgewinnung der NIS-Be- 
hörden bei. 


a) Bundesnachrichtendienst 


Die Aufgabe des Bundesnachrichtendienstes (BND) besteht nach $ 1 Abs. 2 
BNDG darin, mittels Informationen Erkenntnisse über das Ausland zu gewin- 
nen, die von außen- und sicherheitspolitischer Relevanz für Deutschland sind. 
Dem BND kommt für die Zukunft eine Schlüsselrolle in der nationalen Cyber- 


80 Vgl. Ruffert, Regulierung im System des Verwaltungsrechts, AöR 124 (1999), 237 (247 f.). 
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sicherheit und damit der Außen- und Sicherheitspolitik zu.°! Die besondere Rol- 
le des Bundesnachrichtendienstes ergibt sich zum einen aus der Befugnis und 
zum anderen aus den technischen Möglichkeiten zur strategischen Erfassung 
internationaler Datenverkehre. 

Aus der Organisation und den gesetzlichen Ausprägungen des Trennungs- 
gebots in § 1 S.2 und § 2 Abs. 3 BNDG ergibt sich, dass der BND nicht mit 
polizeilichen Befugnissen ausgestattet sein darf. Der BND ist als Nachrichten- 
dienst auf Informationsrechte beschränkt, die sich in der Informationsübermitt- 
lung an Dritte oder in Berichtspflichten erschöpfen. Über weitergehende opera- 
tive Befugnissen oder Zwangsbefugnissen verfügt der BND nicht, was ihn von 
Geheimdiensten unterscheidet.?? 

Das Aufgabenfeld des BND resultiert zunächst aus dem Aufklärungsauftrag 
bezüglich Tatsachen, die „von außen- und sicherheitspolitischer Bedeutung für 
die Bundesrepublik Deutschland“ sind. Allerdings sind aufgrund der Rege- 
lungstechnik des BNDG, die sich durch eine auf Geheimhaltungsinteressen zu- 
rückgehende Kürze und ein geringes Maß an Normbestimmtheit und -klarheit 
auszeichnet, die Aufgaben und Befugnisse nicht eindeutig bestimmt.®? Aus $ 1 
Abs. 2 BNDG folgt insoweit nur ein Aufgabenprofil, welches sich maßgeblich 
über den Auslandsbezug definiert („über das Ausland“). Dieser Auslandsbezug 
bestimmt sich nicht so sehr nach dem Ort der Informationsgewinnung, sondern 
vielmehr nach dem Inhalt der zu gewinnenden Erkenntnis.°* Das Aufgaben- 
profil wird durch die nähere Bestimmung des Aufklärungsauftrags geprägt, der 
sämtliche Aufgaben des Dienstes verbindet. 

Das Aufgabenfeld des Dienstes ist hinsichtlich der Cyberabwehr erweitert 
worden.®° Aufgrund des auslandsbezogenen Aufgabenprofils und infolge der 
technisch nur durch den BND generierbaren Erkenntnisse ist der Nachrichten- 
dienst in die Lage versetzt worden, mit den zur Verfügung stehenden Kompe- 
tenzen und Mitteln Erkenntnisse über die Cyberbedrohungslage und -abwehr 
beizusteuern. Das schließt die Internetsicherheit ein. 


b) Bundesamt für Verfassungsschutz 


Das Bundesamt für Verfassungsschutz (BfV) hat den gesetzlichen Auftrag ($ 3 
BVerfSchG), Informationen, Nachrichten und Unterlagen zu sammeln und aus- 


8! Kullik, Vernetzte (Un-)Sicherheit, 2014, S. 155. 

82 Gusy, in: Schenke/Graulich/Ruthig (Hrsg.), Sicherheitsrecht des Bundes, 2014, BNDG, 
§ 1 Rn. 23. 

83 Gusy, in: Schenke/Graulich/Ruthig (Hrsg.), Sicherheitsrecht des Bundes, 2014, BNDG, 
Vorbemerkung Rn. 10. 

84 Droste, Handbuch des Verfassungsschutzrechts, 2007, S. 162 ff. 

85 Siehe § 3 D I. 3. 
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zuwerten. Der dem BMI unterstehende Inlandsgeheimdienst verfolgt primär 
nicht Straftaten, sondern hat einen Beobachtungsauftrag hinsichtlich verfas- 
sungsbezogener Bestrebungen. Mit der Neuausrichtung der Cybersicherheits- 
architektur durch die Digitale Agenda der Bundesregierung erfährt das BfV 
eine strategische und organisatorische Stärkung. °® 

Eine gesetzliche Umsetzung der Neuausrichtung ist der 2016 in Kraft getre- 
tene § 5 Abs. 4 BVerfSchG. Dem BfV kommt die Funktion einer Zentralstelle 
zu, welche die Landesbehörden für Verfassungsschutz unterstützt. Die Konkre- 
tisierung der allgemeinen Unterstützungsregelung des § 1 Abs. 3 BVerfSchG 
zielt darauf, „speziell im Bereich der Cyberabwehr wie auch im Bereich techni- 
scher Analysefähigkeit (durch Verbesserung der informationstechnischen Ana- 
Iysemittel)‘“ Ressourcen bereitzustellen.°’ $5 Abs.4 BVerfSchG stellt keine 
abschließende Regelung dar („insbesondere“). Daneben übernimmt das BfV 
die zentrale Beobachtung technischer Entwicklungen sowohl für die eigene 
Nutzung als auch für die potenzielle Nutzung durch das nachrichtendienstliche 
Gegenüber.®® In erster Linie soll das BfV die Gefährdungslage durch elektroni- 
sche Angriffe analysieren und zuordnen.®? Verschiedene Erkenntnisse werden 
zusammengeführt, neben solchen aus menschlichen Quellen auch solche aus 
Schadsoftware-Erkennungssystemen und Fernmeldeaufklärung.? Eine zentra- 
le Rolle hat das BfV in der internetbasierten Spionageabwehr?! und in der Ana- 
lyse der Gefährdungen für kritische Infrastrukturen im Rahmen von $ 8b Abs. 2 
Nr. 4 BSIG zu erfüllen. Das BfV ist somit zuständig, wenn die Amtsführung der 
Verfassungsorgane durch Cyberangriffe beeinträchtigt wird (vgl. $3 Abs. 1 
Nr. 1 BVerfSchG). Richten sich etwaige Angriffe nicht gegen eine Einrichtung 
eines Verfassungsorgans, darf das BfV jedenfalls dann tätig werden, wenn sie 
von einer fremden Macht, also vor allem von einem Nachrichtendienst des Ge- 
genübers, ausgehen ($ 3 Abs. 1 Nr. 2 BVerfSchG). Seine Aufgabe in der Inter- 
netsicherheit nimmt das Amt insbesondere durch das Mitwirken am Cyber-Ab- 
wehrzentrum wahr.”? 


86 Bundesregierung, Digitale Agenda 2014-2017, 2014, S. 33. 

87 Gesetzentwurf der Bundesregierung, Entwurf eines Gesetzes zur Verbesserung der 
Zusammenarbeit im Bereich des Verfassungsschutzes, Bearbeitungsstand 20.04.2015, BT- 
Drs. 18/4653, S. 21. 

88 BT-Drs. 18/4653, S. 21. 

®© Kritisch und mit der Forderung, den Beobachtungsdruck zu reduzieren und thematisch 
auf Kernbereiche der Beobachtung extremistischer Phänomene zu reduzieren, Kullik, Ver- 
netzte (Un-)Sicherheit, 2014, S. 149. 
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3. Nationales Cyber-Abwehrzentrum 


Als behördenübergreifende Einrichtung wurde 2011 als Teil der Cybersicher- 
heitsstrategie der Bundesregierung die Errichtung des Nationalen Cyber-Ab- 
wehrzentrums (NCAZ) beschlossen.” Das NCAZ ist beim BSI angesiedelt, 
dessen Präsident auch der Vorsitzende des NCAZ ist.?* Ziel der institutionali- 
sierten Kooperation im NCAZ ist der zügige und unkomplizierte Informations- 
austausch über Sicherheitslücken in Hard- und Software, abstrakte Angriffsfor- 
men und Täterbilder sowie sonstige Risiken und Gefahren für die Informations- 
und Kommunikationstechnologie.”” Auf Grundlage des Kabinettsbeschlusses 
und von Kooperationsvereinbarungen arbeiten als Kernbehörden das BSI, das 
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) und das BfV 
zusammen. Das Bundeskriminalamt, die Bundespolizei, das Zollkriminalamt, 
der Militärische Abschirmdienst, die Bundeswehr sowie die aufsichtführenden 
Stellen über die Betreiber der kritischen Infrastrukturen sind assoziiert und be- 
teiligen sich durch Verbindungsbeamte. Die Beteiligten erfassen zum gemein- 
samen Nutzen eine „nationale Cybersicherheitslage“. Der Nationale Cybersicher- 
heitsrat” wird anlassbezogen oder regelmäßig unterrichtet. Das NCAZ ist keine 
eigenständige Behörde, eine Rechtsgrundlage wird für entbehrlich gehalten. 
Ein Errichtungsgesetz sei ebenfalls nicht erforderlich, da die beteiligten Behör- 
den unter strikter Wahrung ihrer Aufgaben und gesetzlichen Befugnisse zu- 
sammenarbeiten würden.’ Eine dauerhaft analytische oder operative Zusam- 
menarbeit finde nicht statt.” 

Das NCAZ ist die erste Einrichtung, die bezweckt, alle Beteiligten über die 
Grenzen von Zuständigkeiten und Hierarchien hinweg zusammenzubringen 
und Informationen zumindest auf informeller Ebene punktuell zu fusionieren. 
Die Institution ist Ausdruck der Erkenntnis, dass die Grenze sicherheitsrelevan- 
ten Wissens nicht am Maßstab der Unterscheidung von ziviler und militärischer 
sowie polizeilicher und strafverfolgungsrechtlicher Sicherheit gezogen werden 


%3 Das NCAZ ist nicht zu verwechseln mit dem Gemeinsamen Internet-Zentrum (GIZ), 
das 2007 eingerichtet wurde. Die Aufgaben des GIZ werden von den beteiligten Behörden 
festgelegt. Seit Aufnahme des Wirkbetriebs sind das die Sichtung, Auswertung und Analyse 
terroristischer Internetinhalte mit Deutschlandbezug. Siehe BT-Drs. 17/6596, S. 3. 

94 Graulich, in: Schenke/Graulich/Ruthig (Hrsg.), Sicherheitsrecht des Bundes, 2014, 
BKAG, § 2 Rn. 26. 

95 Linke, DÖV 2015, 128 (129). 

% Der Nationale Cybersicherheitsrat ist ein strategisches Planungs- und Beratungsgremi- 
um der Bundesregierung, siehe Bundesministerium des Innern, Cyber-Sicherheitsstrategie 
für 2016, S. 45. 
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kann. Inwiefern das unterschiedliche Organisationsrecht der Beteiligten mit 
verschiedenartigen Aufgabenzuweisungen tatsächlich und rechtlich den Infor- 
mationsfluss beeinflusst, ist eine Frage des Transfers sicherheitsrelevanter In- 
formationen.” 


III. Computer Security Incident Response Teams 


Für die Netz- und Informationssicherheit bedeutende Einrichtungen sind die 
IT-Notfallteams, sog. Computer Security Incident Response Teams (CSIRTs) 
oder Computer Emergency Response Teams (CERTSs).! Dabei handelt es sich 
um Notdienste, die auf Fachebene für die Bewältigung von Sicherheitsvorfällen 
und -risiken nach einem festgelegten Ablauf zuständig sind.” Die Zusammen- 
arbeit von CSIRTs kann in vier Konstellationen erfolgen:!” Kommunikation, 
d.h. die Kommunikation mit der Zielgruppe, Kooperation, also die Zusammen- 
arbeit mit anderen CSIRTs zur Behandlung von Sicherheitsvorfällen, Koordina- 
tion, d.h. die Abstimmung hinsichtlich des gemeinsamen Vorgehens, und Kom- 
mando, also die Leitung von Einsätzen gegen Cyberangriffe. 

CSIRTSs spielen eine wesentliche Rolle in der Gewährleistung der Sicherheit 
von Netzen und Informationssystemen,!® sie sind aber wissenschaftlich bislang 
wenig behandelt und noch weniger in der Rechtswissenschaft rezipiert. Ur- 
sprünglich wurde die Aufgabe der CSIRTS bzw. CERTs in nichtstaatlicher 
Selbstorganisation vor allem im universitären und privaten Bereich wahrge- 
nommen. In der jüngsten Vergangenheit ist jedoch eine Zunahme der staatli- 
chen, d.h. öffentlich initiierten Stellen zu beobachten, was in einem unmittelba- 
ren Zusammenhang mit der Tendenz steht, den Schutz kritischer Informations- 
infrastrukturen als öffentliche Aufgabe anzusehen.!” 

Die Einrichtung von CSIRTs schreibt Art. 9 NIS-RL den Mitgliedstaaten vor. 
In Deutschland fungiert das beim BSI angesiedelte CERT-Bund als zentrale 
Anlaufstelle für präventive und reaktive Maßnahmen für NIS-Sicherheitsvor- 
fälle auf nationaler Ebene.'” Zu den Aufgaben gehören die Analyse, Reaktion, 


9 Siehe § 4 C. I. 
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Unterstützung und Warnung im Zusammenhang mit Sicherheitsvorfällen.'® 
Privatpersonen und kleine Unternehmen werden vom Bürger-CERT vorbeu- 
gend über Gefahren und Risiken informiert und gewarnt.” Eine Vielzahl von 
CERTS hat sich zu einem übergreifenden CERT-Verbund zusammengeschlos- 
sen, um Informationsaustausch zu ermöglichen und Synergien in gemeinsamen 
Projekten freizusetzen.'® Auf europäischer Ebene besteht mit dem CERT-EU 
für die Organe, Einrichtungen und sonstigen Stellen der Europäischen Union 
ein eigenes IT-Notfallteam. Eine transeuropäische CERT-Kooperation stellt die 
European Government CERTs (EGC) Group dar, in der sich die nationalen 
CERTSs von Mitgliedstaaten zur Problembehandlung in größer skalierten Netz- 
werken zusammengeschlossen haben.!” Als Informations- und Wissensakteure 
kommt ihnen im Rahmen des europäischen Informationsaustausches eine wich- 
tige Rolle zu. 


C. Rahmen der Informationsgenerierung 


Die Frage, welche privaten Betreiber von Internetinfrastrukturen und Anbieter 
von über das Internet vermittelten Diensten Quellen der öffentlichen Informati- 
onsgewinnung sein können, richtet sich nach dem für sie anwendbaren IT-Si- 
cherheitsrecht. Die Sicherheit im und die Sicherheit des Internets mit den dazu- 
gehörigen Netzen wird durch ein ganzes Spektrum regulatorischer Vorgaben 
beeinflusst.''® Zu untersuchen ist daher, welcher Rechtsrahmen für die Netz- 


Downloads/EN/BSV/Kritis/rfc2350_CERT-Bund_txt.txt?__blob=publicationFile; Bundesminis- 
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tionsgruppe Leitlinie Informationssicherheit. 
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und Informationssicherheit in der Union gilt (1.). Diesem lassen sich die materi- 
ell-rechtlichen Regelungen zur Gewährleistung der Sicherheit von Internet- 
infrastrukturen und -diensten und zugleich die einschlägigen informationsver- 
waltungsrechtlichen Vorschriften zur Informationsgenerierung entnehmen (1.). 


I. Internetsicherheit im europäischen Primärrecht 


Die Begriffe Internet, Internetsicherheit oder Netz- und Informationssicherheit 
finden sich in den europäischen Verträgen nicht. Der primärrechtliche Rahmen 
für das aktuelle und potenzielle Internetsicherheits- und Informationsverwal- 
tungsrecht ergibt sich aus verschiedenen Kompetenzbereichen, insbesondere 
aus dem Politikbereich des Raums der Freiheit, der Sicherheit und des Rechts (1.), 
dem europäischen Infrastrukturrecht (2.), dem europäische Katastrophen- 
schutzrecht (3.) und dem Statistikrecht (4.). Die wesentlichen bestehenden se- 
kundärrechtlichen Vorgaben zur Netz- und Informationssicherheit sind indes 
auf die Kompetenz zur Binnenmarktharmonisierung gestützt. Ihnen sind die 
zentralen informationsverwaltungsrechtlichen Vorschriften zu entnehmen (5.). 


1. Raum der Freiheit, der Sicherheit und des Rechts 


Einen Raum der Freiheit, der Sicherheit und des Rechts (RFSR) zu bieten ist 
Ziel der Union, Art. 3 Abs. 2 EUV. Der RFSR erfasst die Sicherheit in der Uni- 
on, die von der „nationalen Sicherheit“ der Mitgliedstaaten im Sinne des Art. 4 
Abs. 2 S.3 EUV zu unterscheiden ist. Für diese behalten sich die Mitgliedstaa- 
ten die Letztverantwortung vor.!!! Die Zielvorstellung des RFSR wird durch die 
Bestimmungen in Art. 67 ff. AEUV näher ausgeführt. Die Union wird durch sie 
kompetenziell ausgestattet. Der Begriff der Sicherheit im Sinne von Art. 67 ff. 
AEUV bezieht sich auf die spezifischen Bedrohungen, die sich infolge der Ent- 
wicklung des Binnenmarktes ergeben.''” Es geht insbesondere um die Präven- 
tion und Repression von Straftaten. Art. 83 Abs. 1 UAbs. 2 AEUV listet als be- 
sonderen Kriminalitätsbereich mit grenzüberschreitender Dimension die Com- 
puterkriminalität auf. Für diesen dürfen die Gesetzgeber strafrechtliche 
Mindestvorgaben festlegen. Art. 87 erlaubt der Union die Entwicklung der poli- 
zeilichen Zusammenarbeit. Gemäß Art. 87 Abs. 2 lit. a AEUV ist vor allem die 
informationelle Zusammenarbeit durch Einholen, Speichern, Verarbeiten, Ana- 


security: Overview and Discussion of Proposed Revisions, Congressional Research Service, 
2013, S. 2. 

IN Streinz, in: ders. (Hrsg.), EUV/AEUV, 2. Aufl. 2012, EUV, Art. 4 Rn. 17; vgl. auch 
Art. 276 AEUV. 
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lysieren und Austauschen sachdienlicher Informationen erlaubt. Diese Zusam- 
menarbeit ist „einer der zentralen Bereiche des entstehenden Informationsver- 
waltungsrechts im RFSR“.''? Art. 87 Abs. 2 lit. a AEUV gestattet allerdings nur 
die zwischenbehördliche informationelle Zusammenarbeit, sodass Maßnahmen 
zur primären Informationsbeschaffungspflicht von Privaten nicht auf diese 
Kompetenznorm gestützt werden können.!'* Aus systematischer Perspektive er- 
gibt sich dies aus der Titelüberschrift von Kapitel 5 des AEUV („Polizeiliche 
Zusammenarbeit‘). In den Art. 87 bis 89 AEUV findet sich zudem an keiner 
Stelle eine Regelung, die das unmittelbare Verhältnis der Union oder der Mit- 
gliedstaaten zu Privaten regelt. 

Eine bereits getroffene, auf den Kompetenznormen des RFSR beruhende und 
die Sicherheit der Infrastruktur des Internets betreffende Maßnahme stellt die 
RL 2013/40/EU über Angriffe auf Informationssysteme dar.'!5 Die Richtlinie 
stützt sich auf Art. 83 Abs. 1 AEUV und hat die Festlegung strafrechtlicher 
Mindestvorgaben hinsichtlich der Straftaten und Strafen bei Angriffen auf 
Informationssysteme sowie die Verbesserung der Zusammenarbeit der Einrich- 
tungen wie Eurojust, Europol und ENISA zum Gegenstand.!'° Informationsver- 
waltungsrechtliche Implikationen folgen aus Art. 13 RL 2013/40/EU. Der Arti- 
kel schafft hinsichtlich des Informationsaustausches über Straftaten eigen- 
ständige, vom NIS-Kooperationsrecht unabhängige Strukturen. Informationelle 
Verbindungsstrukturen zur hier relevanten NIS-Verwaltung bestehen jedoch 
auf Grundlage des NIS-Kooperationsrechts.''” Im Übrigen ist nicht ausge- 
schlossen, dass sich Maßnahmen zur NIS-Informationszusammenarbeit auch 
auf Art. 87 Abs. 2 lit. a AEUV stützen können, da die genannten Informations- 
verarbeitungen nicht originär polizeiliche Informationen zum Gegenstand ha- 
ben müssen.!'? 


13 Röben, in: Grabitz/Hilf/Nettesheim (Hrsg.), AEUV/EUV, 59. Aufl. 2016, Art. 87 
AEUV Rn. 49. 

114 Röben, in: Grabitz/Hilf/Nettesheim (Hrsg.), AEUV/EUV, 59. Aufl. 2016, Art. 87 
AEUV Rn. 21. 

115 Die Internetinfrastruktur wird auch durch Regelungen von Netzsperren getroffen. 
Diese betreffen aber nicht die Netz- und Informationssicherheit, sondern zielen auf die Be- 
kämpfung bestimmter Inhalte und den Jugendschutz. Dazu Mayer, Europäisches Internet- 
verwaltungsrecht, in: Terhechte (Hrsg.), Verwaltungsrecht in der Europäischen Union, 2011, 
$ 25, Rn. 38. 

116 Richtlinie 2013/40/EU des Europäischen Parlaments und des Rates vom 12. August 2013 
über Angriffe auf Informationssysteme und zur Ersetzung des Rahmenbeschlusses 2005/222/ 
JI des Rates (ABl. Nr. L 218 S. 8); siehe dazu Reindl-Krauskopf, ZaöRV 2014, 563 (563 ff.). 
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Art.87 Rn.6; Röben, in: Grabitz/Hilf/Nettesheim (Hrsg.), AEUV/EUV, 59. Aufl. 2016, 
Art. 87 AEUV Rn. 21. 
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2. Schutz personenbezogener Daten 


Korrespondierend zu dem in Art. 8 GRCh und Art. 16 Abs. 1 AEUV veranker- 
ten Recht auf Schutz der personenbezogenen Daten sind der Union in Art. 16 
Abs. 2 AEUV und für die Gemeinsame Außen- und Sicherheitspolitik in Art. 39 
EUV Rechtssetzungsbefugnisse übertragen. Für Regelungen zur Verarbeitung 
personenbezogener Daten durch Unionsstellen sowie durch die Mitgliedstaaten 
bei der Ausübung von Tätigkeiten im Anwendungsbereichs des Unionsrechts 
bedarf es daher keines Rückgriffs auf die Kompetenz zur Harmonisierung des 
Binnenmarktes. Maßnahmen der Datensicherheit, soweit sie auf den Schutz per- 
sonenbezogener Daten zielen, können demnach auf primärrechtliche Kompe- 
tenzen gestützt werden. 


3. Europäisches Infrastrukturrecht 


Die Schaffung transeuropäischer Netze ist für die Union ein Mittel zum Zweck 
der Verwirklichung des Binnenmarktes und der Stärkung des wirtschaftlichen, 
sozialen und territorialen Zusammenhalts. Die Union trägt daher zum Auf- und 
Ausbau der Telekommunikationsinfrastruktur bei, Art. 170 Abs. 1 AEUV. In 
Art. 171 Abs. 1 S. 1 AEUV ist in drei Spiegelstrichen festgelegt, wie die Zwecke 
umzusetzen sind. Auf Art. 171 AEUV (Art. 151 EGV a.F.) stützt sich die Ver- 
ordnung (EG) Nr. 733/2002 zur Einführung der Domäne oberster Stufe „.eu‘,''? 
die auf europäischer Ebene im Internetnamensrecht einen regulatorischen Rah- 
men für die Verwaltung der europäischen Top-Level-Domain schafft. Die Ver- 
ordnung führt „eu“ als länderspezifische Domäne oberster Stufe (ccTLD) in die 
Union ein. Die TLDs sind Bestandteil der Infrastruktur des Internets. Ein Bezug 
zur Sicherheit besteht insofern, als die TLDs für die weltweite Interoperabilität 
des World Wide Web (www), einer wichtigen Nutzung des Internets, von we- 
sentlicher Bedeutung sind. Die Interoperabilität der „europäischen Netze“ soll 
gemäß der Verordnung gefördert werden. Zusätzliche Namensserver würden 
sich „positiv auf die Topologie und die technische Infrastruktur des Internets in 
der Gemeinschaft auswirken“.'?° Die Verordnung betrifft im Übrigen jedoch nur 
die Bedingungen der Benennung und der Arbeit des sog. Registers. Diese Orga- 
nisation schließt mit der ICANN einen Vertrag über die Delegierung der ccTLD 
„.eu“, um deren ordnungsgemäße Einbindung in das DNS zu gewährleisten. !?! 


19 Art. 151 EGVa.F. 

120 Erwägungsgrund 5 Verordnung (EG) Nr. 733/2002. 

12! Da die Domainverordnung keine technischen Hindernisse beseitigt, war sie umstrit- 
ten, Koenig/Neumann, EuZW 2002, 485 (488); ferner Mayer, Europäisches Internetverwal- 
tungsrecht, in: Terhechte (Hrsg.), Verwaltungsrecht in der Europäischen Union, 2011, § 25, 
Rn. 41. 
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Im europäischen Infrastrukturrecht bestehen demnach Regelungszugriffe 
auf die Infrastruktur des Internets. Ableitungen für informationsverwaltungs- 
rechtliche Regelungen ergeben sich aus ihnen nicht. 


4. Europäisches Katastrophenschutzrecht 


Dem europäischen Katastrophenschutzrecht wird in der Sicherheitsarchitektur 
die Rolle eines tragenden Elements zugewiesen.'”” Nach Art. 222 Abs. 1 S. 2 a) 
1. Var. AEUV mobilisiert die Union alle ihr zur Verfügung stehenden Mittel, 
einschließlich der von den Mitgliedstaaten bereitgestellten militärischen Mittel, 
um terroristische Bedrohungen im Hoheitsgebiet von Mitgliedstaaten abzuwen- 
den. Bei weiter Auslegung könnte die Vorschrift bei Angriffen auf Internetinf- 
rastrukturen zur Anwendung kommen. Die Kommission und der Hohe Vertre- 
ter der EU für Außen- und Sicherheitspolitik haben gemeinsam den Vorschlag 
für einen Beschluss des Rates gemäß Art. 222 Abs. 3 S. 1 AEUV über die An- 
wendung der Solidaritätsklausel durch die Union vorgelegt.” Der Beschluss 
soll gemäß Art. 2 lit. b bei Terroranschlägen auf Infrastrukturen Anwendung 
finden. Das Parlament machte vorab in Erwägung der Beistandsklausel des 
Art.42 Abs. 7 EUV in einer Entschließung die Auffassung deutlich, dass Cy- 
berangriffe gegen kritische Infrastrukturen unter die Klausel fallen könnten.'”* 
Im Vergleich mit dem Vorgängerentwurf des Beschlusses sind aber kritische 
Infrastrukturen im eigentlichen Sinne nun nicht mehr erfasst." Lediglich in 
den Erwägungen zum Beschluss über ein Katastrophenverfahren in der Union 
wird gefordert, dass Synergien mit dem Europäischen Programm zum Schutz 
kritischer Infrastrukturen (EPCIP) und dem Gemeinsamen Informationsraum 
(CISE) genutzt werden sollten.'?° Die Netz- und Informationssicherheit von In- 
ternetinfrastrukturen spielt daher mit der bestehenden Beschlusslage nach 
Art. 222 Abs. 3 AEUV keine hervorgehobene Rolle.!?” 


122 Reichenbach/Göbel/Wolff/Stokar von Neuforn (Hrsg), Risiken und Herausforderun- 
gen für die öffentliche Sicherheit in Deutschland, 2. Aufl. 2011; vgl. Trute, Katastrophen- 
schutzrecht — Besichtigung eines verdrängten Rechtsgebiets, KritV 2005, 342 (342 ff.). 

123 Beschluss des Rates vom 24. Juni 2014 über die Vorkehrungen für die Anwendung der 
Solidaritätsklausel durch die Union (2014/415/EU), ABl. Nr. L 192 S. 53, ber. ABl. Nr. L 221 
S. 26 und ABI. Nr. L 275 S. 7. 

124 Entschließung des Europäischen Parlaments vom 22. November 2012 zu den EU-Klau- 
seln über die gegenseitige Verteidigung und Solidarität: politische und operationelle Dimen- 
sionen, 2012/2223(IND), Rn. 13. 

125 JOIN (2012) 39 final. 

126 Beschluss Nr. 1313/2013/EU des Europäischen Parlaments und des Rates vom 17. De- 
zember 2013 über ein Katastrophenschutzverfahren der Union, Erwägung 6. 

127 Die EU-Cybersicherheitsstrategie weist lediglich darauf hin, dass ein besonders 
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Im Übrigen könnte die europäische Katastrophenschutzkompetenz, Art. 196 
AEUV, als sektorenübergreifende Kompetenz für unterstützende, ergänzende, 
fördernde und Kohärenz schaffende Maßnahmen der Risikovorsorge der Mit- 
gliedstaaten herangezogen werden.'* 


5. Europäisches Statistikrecht 


Das europäische Statistikrecht ist ein von der Rechtswissenschaft unterschätz- 
ter, aber unter der Fragestellung, ob und wie Informationen zu einem bestimm- 
ten Regelungsgegenstand generiert werden, durchaus zu berücksichtigender 
Bereich.'”” Auf Grundlage von Art. 338 AEUV können Maßnahmen für die Er- 
stellung von Statistiken beschlossen werden, wenn diese für die Durchführung 
der Tätigkeit der Union erforderlich sind. Von der Ermächtigung hat die Union 
vor dem Hintergrund der Finanzkrise mit dem Erlass eines sekundärrechtlichen 
Rahmens zur Harmonisierung der öffentlichen Rechnungslegung und zur 
besseren Überwachung der Erfüllung öffentlicher Rechenschaftspflichten Ge- 
brauch gemacht.'’” Informationsrechtliche Regelungen, die etwa die Generie- 
rung statistischer Informationen über Angriffe auf Netze und Informationssys- 
teme betreffen, finden sich allerdings nicht.'?! Sie dürften nach Art. 338 AEUV 
aber zulässig sein und wären in Erwägung zu ziehen, soweit nicht spezialisierte 
Stellen wie die ENISA derartige Erhebungen durchführen. 


6. Gewährleistung der Netz- und Informationssicherheit als Angelegenheit 
des Binnenmarktes 


In Ermangelung eines eigenen Politikbereichs im dritten Teil des AEUV sind 
die maßgeblichen Regelungen zur Gewährleistung der Sicherheit von Netzen 
und Informationssystemen auf die Kompetenz zur Harmonisierung des Binnen- 
marktes gestützt. 

Das telekommunikationsrechtliche Sekundärrecht,'”* die NIS-RL, die VO 
(EU) Nr. 526/2013 über die ENISA sowie die Verordnung (EU) Nr. 910/2014 


schwerer „Cybervorfall oder -angriff“ dazu führen könnte, dass ein Mitgliedstaat die Solida- 
ritätsklausel des Art. 222 AEUV geltend macht, JOIN(2013) 1 final, S. 22. 

128 Dazu Altwicker, in: Gusy/Kugelmann/Würtenberger (Hrsg.), Rechtshandbuch Zivile 
Sicherheit, 2017, S. 153. 

129 Vgl. Heußner, Informationssysteme im Europäischen Verwaltungsverbund, 2007, 
S. 126 ff. 

130 Richtlinie 2011/85/EU des Rates vom 8. November 2011 über die Anforderungen an 
die haushaltspolitischen Rahmen der Mitgliedstaaten; siehe auch COM(2013) 114 final. 

BI Die Aufgabe der Erstellung von Statistiken kommt wohl der ENISA zu, VO (EU) 
Nr. 526/2013, Erwägung 24. 

132 Siehe zuletzt Richtlinie 2009/140/EG des Europäischen Parlaments und des Rates vom 
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über elektronische Identifizierung und Vertrauensdienste für elektronische 
Transaktionen im Binnenmarkt haben die EU-Gesetzgeber auf Art. 114 AEUV 
gestützt. Die Robustheit und Stabilität der Netze sei „insbesondere für das 
Funktionieren des Binnenmarkts [...] von entscheidender Bedeutung“! Die 
aus den unterschiedlichen Kapazitäten, Strategien und Schutzniveaus resultie- 
renden Disparitäten im Bereich der Netz- und Informationssicherheit in den 
Mitgliedstaaten rechtfertigten ein harmonisierendes Tätigwerden der Union. 

Das Heranziehen von Art. 114 AEUV als Kompetenzgrundlage für Maßnah- 
men betreffend die Netz- und Informationssicherheit ist dennoch problembehaf- 
tet. Gegen die Errichtungs-Verordnung der ENISA'* wurde mit der Auffassung 
geklagt, die Rechtsgrundlage sei nicht geeignet und daher sei die Verordnung 
für nichtig zu erklären. Der Europäische Gerichtshof erkannte Art. 114 AEUV 
(Art. 95 EGV a.F.) jedoch als ausreichende Rechtsgrundlage zur Errichtung der 
Agentur an." Aufgrund der technischen Komplexität von Netzen und Informa- 
tionssystemen, der Vielfalt der zusammengeschalteten Produkte und der Viel- 
zahl eigenverantwortlicher privater und öffentlicher Akteure durfte der Gesetz- 
geber annehmen, dass das reibungslose Funktionieren des Binnenmarktes 
durch eine heterogene Umsetzung der technischen Vorschriften, die in den die 
Netz- und Informationssicherheit betreffenden Richtlinien enthalten sind, ge- 
fährdet werden könnte. Der Gesetzgeber dürfe daher die Schaffung einer 
(Unions-)Einrichtung für notwendig erachten, deren Aufgabe es ist, in Situatio- 
nen, in denen der Erlass von nicht zwingenden Begleit- und Rahmenmaßnah- 
men zur Erleichterung der einheitlichen Durchführung und Anwendung auf 
Art. 114 AEUV gestützter Rechtsakte geeignet erscheint, zum Harmonisie- 
rungsprozess beizutragen. Das dafür zu erfüllende Kriterium, dass die übertra- 
genen Aufgaben in einem engen Zusammenhang mit den anzugleichenden Vor- 
schriften zu stehen haben, sei für die der ENISA übertragenen Aufgaben erfüllt. 

Auch mit Blick auf die in Art. 4 Abs. 2 S.2 EUV enthaltene Staatsfunktio- 
nengarantie kann sich demnach europäisches Internetsicherheitsrecht grund- 
sätzlich auf die Kompetenz zur Binnenmarktharmonisierung stützten. 


25. November 2009 zur Änderung der Richtlinie 2002/21/EG über einen gemeinsamen 
Rechtsrahmen für elektronische Kommunikationsnetze und -dienste, der Richtlinie 2002/19/ 
EG über den Zugang zu elektronischen Kommunikationsnetzen und zugehörigen Einrichtun- 
gen sowie deren Zusammenschaltung und der Richtlinie 2002/20/EG über die Genehmigung 
elektronischer Kommunikationsnetze und -dienste. 

133 Erwägungsgrund 1 NIS-RL; allgemein Gercke, CR 2016, 28 (28 f.). 

134 Verordnung (EG) Nr. 460/2004. 

135 EuGH, Urteil vom 02.05.2006 — C-217/04 Vereinigtes Königreich Großbritannien und 
Nordirland/Europäisches Parlament u.a., Rn. 44ff. mit kritischer Anmerkung von Ohler, 
EuZW 2006, S. 372 ff. 
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II. Sekundär- und einfachrechtlich erfasste Internetinfrastrukturen, 
Dienste, Anbieter und Verantwortliche sowie sonstige Quellen 


Von den relevanten primärrechtlichen Ordnungsrahmen ausgehend können die 
durch europäisches Sekundärrecht und die einfachrechtlich adressierten priva- 
ten Betreiber, Anbieter Dienste, Verantwortliche und sonstige Quellen identifi- 
ziert werden, für die nicht nur materiell-rechtliche Sicherheitsvorgaben, son- 
dern auch informationsverwaltungsrechtliche Bestimmungen zur Generierung 
von Informationen bestehen. Dies sind insbesondere Telekommunikationsnetz- 
betreiber und -diensteanbieter (1.), Betreiber wesentlicher Dienste (2.), Anbieter 
von digitalen Diensten und Telemedien (3.) sowie datenschutzrechtlich Verant- 
wortliche (4.). 


1. Telekommunikationsnetzbetreiber und -diensteanbieter sowie Over-the-Top- 
Kommunikationsdienste 


Während sich die zur Signalübertragung erforderlichen Netzinfrastrukturen 
und Dienste weitgehend unproblematisch im Telekommunikationsrecht einord- 
nen lassen (a), ist die regulierungsrechtliche Behandlung neuer Internetdienste 
wie Over-the-Top-Dienste noch nicht abschließend geklärt (b). 


a) Europäisches Sekundärrecht und Einordnung im deutschen nationalen 
Recht 


Das sekundärrechtliche Telekommunikationsrecht knüpft in Art. 1 Abs. 1 S. 1 
der Rahmen-RL'” an elektronische Kommunikationsdienste, elektronische 
Kommunikationsnetze sowie zugehörige Einrichtungen und zugehörige Diens- 
te an. Die Begriffsbestimmungen in Art. 2 lit. a und c Rahmen-RL entsprechen 
weitgehend denen in $ 3 Nr. 24 und Nr. 27 TKG. Ein Telekommunikationsdienst 
im Sinne des $ 3 Nr. 24 TKG ist ein Dienst, der überwiegend in der Signalüber- 
tragung besteht. Die Gesamtheit von Übertragungssystemen und ggf. von Ver- 
mittlungs- und Leitwegeeinrichtungen sowie anderer Ressourcen sind Telekom- 
munikationsnetze, zu denen nach $ 3 Nr. 27 TKG auch paketvermittelnde Netze 
wie das Internet gehören. Sowohl im europäischen!’ als auch im deutschen 
Recht! ist demnach zwischen dem Transport der Kommunikationsdaten einer- 
seits und dem Inhalt der Kommunikation andererseits zu unterscheiden. Diens- 
te, deren Funktionsschwerpunkt nicht in der Signalübertragung zu verorten ist 
und die eine inhaltliche Leistung zum Gegenstand haben, können ungeachtet 


136 RL 2002/21/EG, zuletzt geändert durch RL 2009/140/EG. 
137 Vgl. auch Erwägungsgrund 5 RL 2002/21/EG. 
138 Vgl. § 1 TMG. 
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weiterer möglicher Einordnungen alternativ als Dienste der Informationsgesell- 
schaft bzw. Telemedien eingeordnet werden.!” 

Dementsprechend kann auch das Internet nicht in seiner Gesamtheit in Kate- 
gorien Telekommunikationsnetz oder Telekommunikationsdienst eingeordnet 
werden. Es bietet sich dagegen an, das OS/ISO-Schichtenmodell! zur tele- 
kommunikationsrechtlichen Einordnung heranziehen. Die Bitübertragungs- 
schicht (physical layer), die Sicherungsschicht (data link layer) und die Vermitt- 
lungsschicht/Netzwerkschicht (network layer) können problemlos der Sig- 
nalübertragung zugeordnet werden. Die Transportschicht (transport layer), in 
der Aufbau, Verwaltung und bbau von logischen Verbindungen stattfinden, 
kann noch der Signalübertragung zugezählt werden, auch wenn selbst aufgrund 
bestimmter Fehlerbehandlungsfunktionen für Daten zusätzlich ein inhaltlicher 
Aspekt gegeben ist.!*! Die Kommunikationsschicht (session layer) stellt Mittel 
bereit, die Kommunikation zu organisieren und zu synchronisieren, sodass hier 
die Signalübertragung nicht mehr den Vorgang dominiert. Die Darstellungs- 
schicht (presentation layer) und die Anwendungsschicht (application layer) 
sind anwendungsorientiert, d. h., sie dienen nicht unmittelbar der Signalübertra- 
gung. Sie sind grundsätzlich nicht der Telekommunikation im Sinne des TKG 
zuzurechnen. 

Die Begriffe Telekommunikationsnetz oder -dienste werden in den Vor- 
schriften des TKG regelmäßig nicht isoliert verwendet. Sie stehen meist im Zu- 
sammenhang mit „Betreiber“ und „Diensteanbieter“ (vgl. $ 109 TKG). Diese 
sind es, die als Quellen staatlicher Generierung von Informationen über die 
Netz- und Informationssicherheit in Betracht kommen. 


b) Einordnung neuer Internetdienste wie Over-the-Top-Dienste 


Besondere Fragen der rechtlichen Einordnung in die Struktur von Telekom- 
munikations- und Telemedienrecht werfen vor allem Dienste auf, die auf dem 
Internetprotokoll (IP) basieren. Die Einordnung hat insbesondere auch Implika- 
tionen für die Informationsgenerierung. Ist das Telekommunikationsrecht auf 
einen neuartigen Dienst anwendbar, erweitert sich mit Blick auf die dadurch 
ebenfalls anwendbaren informationsverwaltungsrechtlichen Regelungen grund- 
sätzlich die verfügbare sicherheitsbezogene Informationsbasis der Administra- 
tive. 


139 Siehe § 3 C. II. 3.; zur Einordnung von nichtmenschlicher Kommunikation, beispiels- 
weise Kommunikation Maschine zu Maschine im Internet der Dinge, Grünwald/Nüßing, 
MMR 2015, 378 (397 ff.). 

40 Siehe § 2 B. 

14 Schütz, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, § 6 Rn. 36 f. 
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Die Relevanz und die Folgen der gesetzlichen Zuordnung lassen sich am Bei- 
spiel der sog. Over-the-Top-Telekommunikationsdienste darstellen. Im Kern 
geht es um die Frage, ob neben den klassischen Telekommunikationsanbietern 
auch Over-the-Top-(OTT-)Anbieter von E-Mail-Übertragungsdiensten und 
Messenger-Diensten oder Voice-over-IP-Anbieter (VoIP) den Pflichten des TKG 
unterfallen.'* Sind diese Dienste als Telekommunikationsdienste im Sinne des 
TKG zu qualifizieren, unterliegen OTT-Dienste zum einen der Aufsicht durch 
die Bundesnetzagentur und zum anderen ist das sicherheitsrechtliche Pflichten- 
programm samt der informationsverwaltungsrechtlichen Vorschriften anzu- 
wenden. !® 

OTT-Dienste kennzeichnet, dass sie auf dem für alle Anwender offenen Inter- 
net auf Basis des Internet-Protokolls (IP) erbracht werden (over the top). “^ Ab- 
zugrenzen sind OTT-Kommunikationsdienste von OTT-Inhaltsdiensten. Bei 
den Kommunikationsdiensten steht die Individual- und Gruppenkommunika- 
tion im Vordergrund, bei den Inhaltsdiensten die inhaltliche Leistung.'* Tele- 
kommunikationsrechtlich problematisch sind vor allem OTT-Kommunikations- 
dienste, da sie entweder als die Kommunikationsdienste der TK-Anbieter kom- 
plementierend oder erweiternd oder als Substitute für traditionelle Telefonie- und 
Kommunikationsdienste zu betrachten sind. Als Besonderheit kommt hinzu, 
dass OTT-Dienste tendenziell mehr gebündelte Leistungen anbieten. Die Anbie- 
ter streben häufig ein Leistungsbündel an, um verschiedene Funktionen aufeiner 
Plattform zu integrieren. Informationstechnisch werden alle OTT-Dienste auf 
der Anwendungsschicht im Sinne des TCP/IP-Schichtenmodells realisiert. Da- 
bei werden sowohl offene, standardisierte Anwendungsprotokolle (E-Mail) als 


142 Hintergrund der Debatte sind die regulatorischen Belastungen der etablierten Anbieter 
gegenüber den nicht regulierten Internetdienstanbietern und die damit einhergehende er- 
schwerte Anpassung der Geschäftsmodelle. Gefordert wird ein regulatorisches „Level-Play- 
ing-Field“. Siehe Monopolkommission, Sondergutachten 68, Wettbewerbspolitik: Heraus- 
forderung digitale Märkte, 2015, Rn. 544; eine Übersicht über die wichtigen OTT-Dienste 
einschließlich deren Sicherheitsstandards bietet Electronic Frontier Foundation, Secure Mes- 
saging Scorecard, abrufbar unter: https://www.eff.org/secure-messaging-scorecard. 

18 Vgl. Grünwald/Nüßing, MMR 2016, 91 (91 ff); Kühling/Schall, CR 2015, 641 (654), die 
darauf hinweisen, dass aus der Erfassung als Telekommunikationsdienst nicht folgt, dass 
sämtliche telekommunikationsrechtlichen Regelungen anwendbar wären; vgl. auch die Vor- 
haben der Kommission zu „bedarfsgerechten Telekommunikationsvorschriften“ Kommissi- 
on, Strategie für einen digitalen Binnenmarkt in Europa, COM(2015) 192 final, S. 11 f. 

144 Dazu Raabe/Dinger/Hartenstein, K&R 2007, Beihefter 1, 1 (4, 6). 

145 Zur Behandlung von Mischdiensten im Allgemeinen und von Cloud Storage und Cloud 
Collaboration im Besonderen Kremer/Völkel, CR 2015, 501 (505), die für Letztere das Vorlie- 
gen von Telemedien annehmen; ferner zur Abgrenzung gegenüber Inhaltsdiensten Heun, 
Einführung: Grundlagen und Struktur des TKG, Marktzutritt und Übergangsrecht, in: Heun 
(Hrsg.), Handbuch Telekommunikationsrecht, 2. Aufl. 2015, Rn. 46 ff. 
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auch proprietäre, nicht offengelegte Anwendungsprotokolle verwendet. Ge- 
meinsam ist den OTT-Diensten aber, dass sie die übertragenen Informationen 
und die Kommunikation der Nutzer über einen Port in die bzw. aus der unterhalb 
der Anwendungsschicht liegenden Transport- und Internetschicht (IP) ein- oder 
ausleiten.!*‘ OTT-Kommunikationsdienste können eine Client-Server- oder eine 
Peer-to-Peer-Architektur aufweisen, d.h. eine Ressource oder ein Dienst wird 
von einem Server bereitgehalten bzw. ausgeführt oder jeder Benutzer kann zeit- 
gleich Ressourcen bereithalten und abrufen. 

Für die telekommunikationsrechtliche Erfassung stellen sich nun Probleme 
sowohl im sachlichen als auch im persönlichen Anwendungsbereich. Sachlich 
ist der Anwendungsbereich eröffnet, wenn ein „öffentlich zugänglicher Tele- 
kommunikationsdienst“ bzw. ein „öffentliches Telekommunikationsnetz“ ange- 
boten oder betrieben wird. Persönlich müssen die OTT-Dienste als „Anbieter“ 
oder „Betreiber“ zu qualifizieren sein.” Grundlegend ist die Frage, ob 
OTT-Dienste als Dienste im Sinne von Art. 2 lit. c) Rahmen-RL und $ 3 Nr. 24 
TKG anzusehen sind, die in der Regel gegen Entgelt erbracht werden und die 
ganz oder überwiegend in der Übertragung von Signalen über Telekommunika- 
tionsnetze bestehen. Von vorneherein ausgenommen sind nach Art. 2 lit. c) Rah- 
men-RL Dienste, die Inhalte anbieten oder eine redaktionelle Kontrolle über sie 
ausüben. Überdies nicht dazu gehören die Dienste der Informationsgesellschaft 
im Sinne von Art. 1 RL 98/34/EG, die nicht ganz oder überwiegend in der 
Übertragung der elektronischen Kommunikationsnetze bestehen. Wegen der 
Bündelung von Kommunikationsdiensten kann häufig nicht eindeutig bestimmt 
werden, ob im Schwerpunkt ein Inhaltsdienst (Audio, Video usw.) vorliegt. 

Zur Beurteilung dieser Mischdienste kommen drei Ansätze in Betracht:!*® 
die Gesamtbetrachtung des Leistungsbündels, ° die entgegengesetzte funktio- 
nale Betrachtung!” und eine vermittelnde Ansicht, die danach fragt, ob bei 
technisch möglicher Separierung ein Leistungsbündel als wirtschaftliche Ein- 
heit betrachtet werden kann.'! 


146 Kühling/Schall, CR 2015, S. 641 (644). 

47 83 Nr. 24 TKG. Siehe Säcker, in: ders. (Hrsg.), TKG, 3. Aufl. 2013, $ 3 Rn. 61. 

148 Vgl. Kühling/Schall/Biendl, Telekommunikationsrecht, 2. Aufl. 2014, Rn. 126. 

14 Das ist der Ansatz der schwedischen Regulierungsbehörde PTS, Which services and 
networks are subject to the Electronic Communications Act?, 2009, S.26. Bei einem 
E-Mail-Anbieter können etwa der E-Mail-Empfang, -Versand, die Verwaltung samt Speiche- 
rung, die Informationsdienste auf der Webseite usw. zusammen betrachtet werden. 

150 Säcker, in: Säcker (Hrsg.), TKG, 3. Aufl. 2013, $ 3 Rn. 62a; HolznagellSchumacher, in: 
Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, Einl. C, Rn. 20. Koenig/Neumann, K&R 
2004, Beilage 3, S. 1 (9). 

151 Martinilvon Zimmermann, CR 2007, 427 (428); Kühling/SchalllBiendl, Telekommuni- 
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Gute Gründe sprechen auch dafür, die im Einzelnen aufgrund der Technik 
sehr schwierig zu subsumierenden telekommunikationsrechtlichen Vorausset- 
zungen des Art. 2 lit. c Rahmen-RL bzw. $ 3 Nr. 24 TKG für OTT-Dienste als 
erfüllt anzusehen. Dies sind insbesondere die Entgeltlichkeit der Diensteerbrin- 
gung, das Überwiegen der Signalübertragung des Dienstes, die öffentliche Zu- 
gänglichkeit des Dienstes sowie die Anbietereigenschaft von OTT-Akteuren.'” 

Einer abschließenden Bewertung bedarf es hier nicht. Für eine Einordnung 
der OTT-Dienste als Telekommunikationsdienste spricht jedoch die epistemi- 
sche Implikation, welche die Anwendbarkeit des sicherheitsrelevanten Informa- 
tionsverwaltungsrechts nach sich zieht.'” 

Die Gewährleistungsverantwortung der Europäischen Union für die Internet- 
sicherheit kann als normativer Anknüpfungspunkt einer unionsrechtlich gebote- 
nen Berücksichtigung der kognitiven Dimension telekommunikationsrechtlicher 
Aufgabenerfüllung herangezogen werden. Da der staatliche Schutzauftrag durch 
einen Maßnahmenmix erfüllt werden kann, kommt für den nationalen Gesetz- 
geber die Mitwirkung an der Weiterentwicklung des Rechtsrahmens hinsichtlich 
der OTT-Dienste in Betracht.!** Die Mitgliedstaaten könnten bei der Entschei- 
dung über die künftige Regulierung von OTT-Diensten in die Abwägung einflie- 
Ben lassen, dass dasjenige Regulierungsregime gelten soll, welches aus informa- 
tionsverwaltungsrechtlicher Sicht am ehesten verspricht, in angemessenem Um- 
fang sicherheitsbezogene Informationen zu generieren. Der Handlungsspielraum 
der Mitgliedstaaten in der Rechtssetzung der Union ist zwar naturgemäß auf die 
Mitwirkung begrenzt (vgl. Art. 16 Abs. 2 EUV), eine rechtliche Grenze der staat- 
lichen Schutzaufträge ist darin aber nicht zu sehen. Die Schutzpflichten enden 


kationsrecht, 2. Aufl. 2014, Rn. 126. Kremer/Völkel, CR 2015, 501 (504); a. A. Holznagel/ 
Schumacher, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, Einl. C, Rn. 24. 

152 Kühling/Schall, CR 2015, 641 (641 ff.). 

153 In der deutschen Rechtsprechung zeichnet sich zu Recht ab, OTT-Dienste entgegen der 
technischen Auffassung der Kommission als elektronische Kommunikationsdienste im 
Wege der funktional-wertenden Betrachtung im Sinne des Art. 2 lit. c Rahmen-RL einzuord- 
nen, VG Köln, Urteil vom 11.11.2015, Az: 21 K 450/15. Das Gericht hat die Sprungrevision 
zum Bundesverwaltungsgericht zugelassen. Das Gericht sah den von Google betriebenen 
E-Mail-Dienst Gmail als Telekommunikationsdienst im Sinne des TKG an. Zustimmend 
Kühling/Schall, CR 2016, 185 (185 ff.); kritisch Gersdorf, K&R 2016, 91 (91 ff.); Schuster, CR 
2016, 173 (173 ff). Die Frage wird erneut im Rahmen der Überprüfung des europäischen 
Rechtsrahmens für Telekommunikation virulent, siehe zu den Konsultationen im Zuge des 
TK-Review Kommission, Background to the Public Consultation — On the Evaluation of the 
Regulatory Framework for Electronic Communications and on its Review, 11.09.2015; vgl. 
auch Monopolkommission, Sondergutachten 66, Telekommunikation 2013: Vielfalt auf den 
Märkten erhalten, 2013, Rn. 10, 52, 139 ff. 

154 Schliesky/Hoffmann/Luch/Schulz/Borchers, Schutzpflichten und Drittwirkung im In- 
ternet, 2014, S. 159. 
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grundsätzlich erst dann, wenn die Unmöglichkeit beginnt (ultra posse nemo ob- 
ligatur).'” Die EU ist in Einklang mit dem in Art. 5 EUV verankerten Subsidia- 
ritätsprinzip im Verhältnis zu den Mitgliedstaaten die Ebene, die vorrangig in 
dieser Frage einzugreifen hat. Der transnationale Charakter des Internets macht 
die Sicherheit ebenfalls zu einer transnationalen Angelegenheit. Der Zulässigkeit 
eines solchen Arguments stehen auch nicht die telekommunikationsrechtlichen 
Regulierungsziele entgegen. Nach $ 1 TKG und $ 2 Abs. 2 Nr. 2 TKG ist vor al- 
lem die Sicherstellung eines chancengleichen Wettbewerbs unter Anwendung 
eines technologieneutralen Ansatzes ein mit der Regulierung verfolgtes Ziel. Die 
Wahrung der Interessen der öffentlichen Sicherheit zählt allerdings nach § 2 
Abs. 2Nr. 9 TKG ebenfalls dazu. Den Regulierungszielen kann als Leitprinzipi- 
en ermessenseinschränkende und ermessenslenkende Bedeutung zukommen’ 
und in der Anwendung des TKG bei Zweifels- und Streitfragen herangezogen 
werden.'5’ Somit kann es geboten sein, im Sinne der Informationsgenerierung 
das Telekommunikationsrecht oder eine entsprechende Regulierung auf OTT- 
Dienste anzuwenden bzw. für diese einzuführen. 


2. Betreiber wesentlicher Dienste und kritischer Infrastrukturen 


Als Kernelement der europäischen Cybersicherheitsstrategie hat die Kommis- 
sion 2013 die „Richtlinie über Maßnahmen zur Gewährleistung einer hohen ge- 
meinsamen Netz- und Informationssicherheit‘“ (NIS-RL) vorgeschlagen, '® die 
am 06.07.2016 vom Europäischen Parlament in zweiter Lesung angenommen 
wurde.'5? Die NIS-RL schaffte erstmals als Begleitmaßnahme zur Digitalisie- 
rung des Binnenmarktes umfassend Pflichten für einen Mindeststandard für die 
Sicherheit sowie Meldepflichten.'° Die Richtlinie legt Maßnahmen zur Ge- 


155 Zur Geltung dieses Grundsatzes auch für die Schutzpflichten Dietlein, Die Lehre von 
den grundrechtlichen Schutzpflichten, 2005, S. 105. 

156 Säcker, in: ders. (Hrsg.), TKG, 3. Aufl. 2013, § 2 Rn. 1. 

157 Schuster, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, § 2 Rn. 36. 

158 Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 
2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus 
von Netz- und Informationssystemen in der Union; dazu Beucher/Utzerath, MMR 2013, 362 
(362 £.); Gercke, CR 2016, 28 (28 ff.),; Schallbruch, CR 2016, 663 (663 ff.). 

159 Europäisches Parlament, Pressemitteilung vom 06.07.2016, REF : 20160701IPR34481; 
Beschlussgrundlage 2013/0027 (COD). Die Richtlinie tritt am 20. Tag nach der Veröffentli- 
chung im Amtsblatt in Kraft. 

160 Einen europäischen Rechtsrahmen bietet bereits die Richtlinie 2008/114/EG des Rates 
über die Ermittlung und Ausweisung europäischer kritischer Infrastrukturen und die Bewer- 
tung der Notwendigkeit, ihren Schutz zu verbessern. Ein übergreifendes Gesamtkonzept 
bietet das „Europäische Programm für den Schutz kritischer Infrastrukturen“ (EPCIP), 
KOM(2006) 786, das hauptsächlich ein Verfahren zur Ermittlung und Ausweisung kritischer 
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währleistung einer hohen gemeinsamen Sicherheit von Netz- und Informations- 
systemen in der Union fest (Art. 1 Abs. 1 NIS-RL). Die Mitgliedstaaten haben 
für diese Zwecke der NIS-RL Vorkehrungen gegen Cyberangriffe zu treffen 
und die europäische Kooperation auf diesem Gebiet zu verstärken. Vom Anwen- 
dungsbereich der NIS-RL erfasst sind Betreiber wesentlicher Dienste (essential 
services), Art. 1 Abs.2 lit.d NIS-RL.'' Diese sind den Sektoren Energie, 
Transport, Banken, Finanzdienstleister, Gesundheit, Wasserversorgung und di- 
gitale Infrastruktur zuzuordnen. Die Mitgliedstaaten haben nach den lediglich 
grob vorgegebenen Kriterien die Betreiber wesentlicher Dienste zu ermitteln 
(Art. 5 NIS-RL). 

Parallel zur NIS-RL wurde in Deutschland das IT-Sicherheitsgesetz als Arti- 
kelgesetz!‘” vorgeschlagen, das vor der NIS-RL in Kraft trat.'‘° Die Novellie- 
rung des BSIG verwendet zwar nicht den Begriff „wesentliche Dienste“, führt 
aber Regelungen für sog. kritische Infrastrukturen ein. Dabei wurde der Begriff 
erstmals verrechtlicht und legaldefiniert.'°* Die Vorgaben für Betreiber kriti- 
scher Infrastrukturen entsprechen grundsätzlich denen, die die NIS-RL für Be- 
treiber wesentlicher Dienste vorsieht. 

Kritische Infrastrukturen sind nach $ 2 Abs. 10 BSIG Einrichtungen, Anla- 
gen oder Teile davon, die den Sektoren Energie, Informationstechnik und Tele- 
kommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie 
Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das 
Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Be- 
einträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öf- 


Infrastrukturen und komplementäre, informelle Maßnahmen zum Schutz der Infrastruktu- 
ren vorsieht. Ein verpflichtendes Meldeverfahren oder formalisierte Kooperations- oder Re- 
aktionsmechanismen bei Sicherheitsvorfällen sieht dieses Programm aber nicht vor. 

16l Vgl. Art. 14 und 15a der konsolidierten Entwurfsfassung der NIS-RL vom 18.12.2015, 
15229/15 Rev. 2. 

162 Bei dem IT-Sicherheitsgesetz handelt es sich um ein sog. Mantel- oder auch Artikel- 
gesetz, d.h., es werden mit einem einzigen Rechtsetzungsakt verschiedene Gesetze geändert, 
neu geschaffen oder aufgehoben, die in einem Sachzusammenhang, hier der IT-Sicherheit, 
stehen. Siehe Bundesministerium für Justiz, Handbuch der Rechtsförmlichkeit, 3. Aufl. 2008, 
abrufbar unter: http://hdr.bmj.de/page_d.4.html. 

163 Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheits- 
gesetz) vom 17. Juli 2015, BGBl. I S. 1324. 

164 Allerdings zählt in § 2 Abs. 2 Nr. 3 S.4 ROG der Schutz kritischer Infrastrukturen zu 
den Grundsätzen der Raumordnung, denen Rechnung zu tragen ist. Nach $ 17 Abs. 1 Nr. 3 
des Zivilschutz- und Katastrophenhilfegesetzes darf das Bundesamt für Bevölkerungsschutz 
und Katastrophenhilfe Angaben, einschließlich personenbezogener Daten, über „Infrastruk- 
turen, bei deren Ausfall die Versorgung der Bevölkerung erheblich beeinträchtigt wird (kri- 
tische Infrastrukturen)“, erheben. Dazu Kahrl, DÖV 2009, 535 (536). 
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fentliche Sicherheit eintreten würden.'® Die Definition der kritischen Infra- 
strukturen schließt weitgehend die durch NIS-RL erfassten wesentlichen Dien- 
ste ein (Art. 4 Nr. 4 in Verbindung mit Art. 5 Abs. 2 NIS-RL). Aus Art. 4 Nr. 4 
NIS-RL, nicht hingegen aus dem BSIG, geht hervor, dass zu den kritischen In- 
frastrukturen auch öffentliche Einrichtungen zu zählen sind. 

Welche Einrichtungen, Anlagen oder Teile der Infrastrukturen in den ge- 
nannten Sektoren als kritische Infrastrukturen gelten sollen, wird durch eine 
Rechtsverordnung unter den Voraussetzungen des $ 10 Abs. 1 BSIG festgelegt. 
In methodischer Hinsicht wird die Kritikalität nach den Kriterien Qualität und 
Quantität bestimmt.!° Als Arten wesentlicher digitaler Infrastrukturen gibt die 
NIS-RL in Anhang II Nr. 7 Internet-Knoten (Internet Exchange Points — IXPs), 
Domain-Name-System-(DNS-)Diensteanbieter und Top-Level-Domain-(TLD-) 
Name-Registrys vor. 

Internet-Knoten sind die Knotenpunkte des Internets, über die verschiedene 
autonome Systeme zusammengeschaltet werden. Die IXPs dienen nicht selbst 
dem Transport des Internetverkehrs, sondern dem Austausch zwischen unter- 
schiedlichen Providern.!® Die Kritikalität beurteilt sich nach der Anzahl der zu- 
sammengeschalteten Netze. Die Kritis-VO'® stuft die Betriebsanlagen des IXPs 
gemäß § 5 Abs. 4 in Verbindung mit Anhang 4 Teil 3 Nr. 1.3.1 als kritisch ein. 

DNS-Diensteanbieter bieten Dienste an, mit deren Hilfe Domainnamen in die 
für die technische Abwicklung des Verkehrs nötigen IP-Adressen umgewandelt 
werden.!® Die Kritikalität bemisst sich anhand der Anzahl der beauskunfteten 


165 Vgl. Definition des Bundesministeriums des Innern, Nationale Strategie zum Schutz 
Kritischer Infrastrukturen (KRITIS-Strategie), Stand: 17.06.2009, S.3; vgl. Kahrl, DÖV 
2009, 535 (535 ff.); zur rechtspolitischen Kritik daran, dass der Bereich Kultur und Medien 
nicht als kritischer Sektor erfasst ist, und mit der Forderung, dass eine Regulierung ähnlich 
wie zwischen dem TMG und RFStV anhand von Inhalten, nicht aber nach der Technik erfol- 
gen müsse, Spindler, CR 2016, 297 (298). 

166 BT-Drs. 18/4096, S.38. Mit dem Kriterium der Qualität wird methodisch die Frage 
beantwortet, ob Infrastrukturen eine für die Gesellschaft kritische Dienstleistung erbringen, 
und mit dem Kriterium der Quantität wird gefragt, ob ein Ausfall oder eine Beeinträchtigung 
wesentliche Folgen für wichtige Schutzgüter und die Funktionsfähigkeit des Gemeinwesens 
hätten. Zur Frage der verfassungsrechtlich gebotenen Bestimmtheit der Norm hinsichtlich 
der Verweisung und der Bestimmung kritischer Infrastrukturen durch branchenspezifische 
Schwellenwerte Leisterer/Schneider, CR 2014, 573 (577), Roth, ZD 2015, 17 (19); Guckelberger, 
DVBI. 2015, 1213 (1217); für die Debatte über die Bestimmung kritischer Infrastrukturen 
durch den Erlass einer Verordnung siehe 110. Sitzung des Deutschen Bundestages, 12.06.2015, 
PIPr. 18/110, S. 10572 ff. 

167 Art.4 Nr. 3 in Verbindung mit Erwägungsgrund 82 NIS-RL. 

168 Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI- 
Kritisverordnung) vom 22. April 2016, BGBl. I S. 958. 

19 Vgl. Art. 4 Nr. 15 NIS-RL. 
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bzw. verwalteten Domains. Die Kritis-VO erfasst ebenfalls DNS-Diensteanbie- 
ter, teilt diese indes gemäß $ 5 Abs. 4 in Verbindung mit Anhang 4 Teil 3 Nr. 1.4 
in zwei kritische Dienste auf, nämlich DNS-Resolver für das Auflösen von 
Domainnamen in IP-Adressen und autoritative DNS-Server, die vergebene 
Domainnamen nachweisen. 

TLD-Name-Registrys sind Bestandteil des hierarchisch unterteilten Domain- 
Name-Systems und verwalten die Domainnamen auf der obersten Ebene (Top 
Level). Alle TLD-Name-Registries sind als kritisch anzusehen. Die Kritis-VO 
nennt diese Untergruppe des Domain-Namen-Systems nicht, erfasst diese aber 
implizit durch die Aufnahme der autoritativen DNS-Server.!” 

Die Kritis-VO geht über die in der NIS-RL genannten Einrichtungsarten hi- 
naus. Zusätzlich als kritische Internetinfrastrukturdienste sind aus dem Sektor 
Informationstechnik und Telekommunikation neben Anlagen und Diensten, die 
der Vermittlung und der Steuerung dienen, auch Sprach- und Übertragungs- 
dienste, die den Zugang (Telekommunikationsnetze), die Übertragung (Tele- 
kommunikationslinien, Übertragungswege, Standortkopplung) sowie IP-Regis- 
trierungsdatenbanken als weitere kritische Anlagenkategorien identifiziert. Aus 
dem Bereich Datenspeicherung und -verarbeitung sind insbesondere Housing 
(Rechenzentren), IT-Hosting (Serverfarm, Content Delivery Networks) und 
Vertrauensdienste (Trust Center) erfasst. Da die NIS-RL für die wesentlichen 
Dienste gemäß Art. 3 nur von einer Mindestharmonisierung ausgeht und es den 
Mitgliedstaaten erlaubt, ein höheres Sicherheitsniveau zu erreichen, steht die 
Richtlinie weitergehenden nationalen Bestimmungen nicht entgegen." 

Ein verbleibendes „Delta“ zwischen bedeutenden Internetinfrastrukturen 
und telekommunikationsrechtlich mangels Kommunikation nicht erfassten Inf- 
rastrukturen wird durch die NIS-RL und das BSIG in Verbindung mit der Kri- 
tis-VO für kritische Infrastrukturen zu einem wichtigen Teil geschlossen. 


170 Schallbruch, CR 2016, 663 (665). 

171 Die Kritis-VO sieht gemäß $ 5 Abs. 4 in Verbindung mit Anhang 4 Teil 3 Nr. 2.3. auch 
Anlagen zur Erbringung von Vertrauensdienten als kritische Infrastrukturen im Sektor In- 
formationstechnik und Telekommunikation an. Die NIS-RL nimmt jedoch gemäß Art. 1 
Abs. 3 NIS-RL Vertrauensdienste von den Sicherheitsanforderungen und informationsver- 
waltungsrechtlich relevanten Meldepflichten aus, da Vertrauensdienste Gegenstand der VO 
(EU) Nr. 910/2014 sind, die in Art. 19 auch Sicherheitsanforderungen statuiert. Zwar dürfte 
für die deutsche Konkretisierung insofern Raum sein, als die Kritis-VO von „Anlagen“ 
spricht. Vorrang hat aber nach Art. 1 Abs. 7 NIS-RL sektorspezifisches Unionsrecht, sofern 
mindestens gleichwertige Anforderungen an die Sicherheit der Netz- und Informationssyste- 
me gestellt werden oder die Meldung von Sicherheitsvorfällen gewährleistet wird. 
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3. Anbieter digitaler Dienste und Telemedien 


Eine „Schlüsselstellung für die Sicherheit“ im Cyberspace nimmt eine Vielzahl 
von Informations- und Kommunikationsdiensten im Internet ein, auch wenn sie 
hinsichtlich quantitativer Bedeutung und Versorgungsgrad nicht als wesentlich 
einzustufen sind.!”? 

Aus diesem Grund bezieht die NIS-RL in ihren Anwendungsbereich auch 
Anbieter sog. digitaler Dienste (digital services) mit ein, Art. 16 NIS-RL. Digi- 
tale Dienste sind Dienste der Informationsgesellschaft im Sinne des Art. 1 b) 
der RL (EU) 2015/1535, d.h. jede in der Regel gegen Entgelt elektronisch im 
Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleis- 
tung. Der Unionsgesetzgeber hat die von der NIS-RL umfassten Arten digitaler 
Dienste über einen Verweis auf den Anhang enumerativ aufgeführt. Art. 4 Nr. 5 
in Verbindung mit Anhang III NIS-RL beschränkt den sachlichen Anwen- 
dungsbereich auf Online-Marktplätze, Online-Suchmaschinen und Cloud-Com- 
puting-Dienste. 

Die von der NIS-RL einbezogenen digitalen Dienste können grundsätzlich 
als Telemedien im Sinne des TMG eingeordnet werden, für die auch die Sicher- 
heitsverpflichtungen des $ 13 Abs. 7 TMG gelten.'”” Nach der Negativdefinition 
des $ 1 Abs. 1 TMG sind unter Telemedien Informations- und Kommunikati- 
onsdienste zu verstehen, soweit sie nicht ausschließlich Telekommunikations- 
dienste nach $ 3 Nr. 24 TKG darstellen, d.h., soweit sie nicht ganz in der Über- 
tragung von Signalen über Telekommunikationsnetze bestehen oder telekom- 
munikationsgestützte Dienste nach $ 3 Nr. 25 TKG sind. 

Das TMG geht über die nur „ausschnitthafte Erfassung des Cyberspace“ im 
Anwendungsbereich der NIS-Richtlinie hinaus. Unter den Begriff des Teleme- 
diendiensteanbieters lassen sich nämlich vier verschiedene Provider-Typen fas- 
sen (vgl. $2 Nr. 1 TMG): Content-Provider, Host-Provider, Access-Provider und 
Cache-Provider.'”* Content-Provider bieten eigene Inhalte zum Abruf im Inter- 
net bereit. Ein Host-Provider stellt ein System für Dritte, zum Beispiel zum 
Speichern fremder Inhalte, zur Verfügung. Access-Provider vermitteln mit Hil- 
fe einer technischen Infrastruktur wie zum Beispiel einem Rechenzentrum den 
Zugang zu den Inhalten. Cache-Provider vermitteln den beschleunigten Zugang 
zu Inhalten durch Zwischenspeicherung fremder Inhalte. In persönlicher Hin- 


172 Vgl. BT-Drs. 18/4096, S. 2; Gerlach, CR 2015, 581 (581). 

13 Schallbruch, CR 2016, 663 (664). 

14 Bundesamt für Sicherheit in der Informationstechnik, Empfehlung Internet-Dienstleis- 
ter, Diskussionspapier: Absicherung von Telemediendiensten, 2016, S. 1 (1 f.); vgl. auch die 
Unterscheidung der Providertypen bei Hartmann, Unterlassungsansprüche im Internet, 
2009, S. 12; Djeffal, MMR 2015, 716 (717). 
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sicht können die Rollen in einer natürlichen oder juristischen Person zusam- 
menfallen oder einzelne Rollen an andere Unternehmen ausgelagert werden. 
Als Telemedien sind im Gegensatz zur NIS-Richtlinie folglich auch Betreiber 
vom Webseiten, Soziale Netzwerke und andere Plattformen als Anbieter eigener 
oder fremder Inhalte oder als Zugangsvermittler erfasst. Den Mitgliedstaaten ist 
es auch erlaubt, weitere und strengere Anforderungen an solche Diensteanbieter 
zu stellen, da sich das Verbot von Zusatzpflichten in Art. 16 Abs. 10 NIS-RL nur 
auf die in der NIS-Richtlinie genannten Arten digitaler Dienste bezieht. 

Haben Anbieter digitaler Dienste keine Niederlassung in der Union, bieten sie 
aber Dienste im Sinne der NIS-Richtlinie an, müssen sie gemäß Art. 18 Abs. 2 
NIS-RL einen Vertreter in einem Mitgliedsstaat benennen, dessen gerichtlicher 
Zuständigkeit sie unterliegen. Demnach kommt es nicht auf den physischen 
Standort der Netz- und Informationssysteme an.!” 


4. Verantwortliche im Sinne des Datenschutzrechts 


Ein großer Teil der Nutzer des Internets verarbeitet personenbezogene Daten und 
nutzt das Internet für deren Übermittlung. Über das Internet können auch An- 
lagen und Einrichtungen angesteuert werden, die solche Daten speichern. Das 
Datenschutzrecht schützt personenbezogene Daten. Es regelt jedoch nicht nur 
die Voraussetzungen der Datenverarbeitung, sondern stellt auch Anforderungen 
an die Datensicherheit personenbezogener Daten.!’”° Adressaten dieser Sicher- 
heitspflichten sind die datenschutzrechtlich Verantwortlichen. Nach dem weites- 
ten Verständnis sind Verantwortliche alle natürlichen oder juristischen Perso- 
nen, Behörden oder anderen Stellen, die allein oder gemeinsam mit anderen über 
die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entschei- 
den (Art. 4 Nr. 7 DS-GVO). Wegen der Bedeutung des Datenschutzes für die 
Internetsicherheit sind daher auch die datenschutzrechtlich Verantwortlichen 
wichtige Quellen für die Gewinnung von sicherheitsrelevanten Informationen. 


D. Rechtsgrundlagen zur Generierung von Informationen über 
die Sicherheit von Netzen und Informationssystemen 


Nachdem untersucht wurde, welche privaten Akteure zur Generierung von In- 
formationen in Betracht kommen, ist der Weg für die Frage geebnet, welche 
Informationen erhoben werden können. Dazu sind diejenigen Rechtsgrundla- 


175 Vgl. Erwägungsgründe 64 f. NIS-RL. 
76 Art. 17 der RL 95/46/EG bzw. Art. 32 DS-GVO; Art.4 der RL 2002/58/EG, zuletzt 
geändert durch RL 2009/136/EG. 


D. Rechtsgrundlagen zur Generierung von Informationen 71 


gen zu ermitteln, aus denen sich ergibt, dass die Diensteanbieter und Infrastruk- 
turbetreiber den NIS-Behörden sicherheitsrelevante Informationen beibringen 
oder aufgrund derer die NIS-Behörden die Befugnis haben, Informationen zu 
erheben. Zu bestimmen ist dabei jeweils der Verpflichtungsgehalt der betreffen- 
den Rechtsgrundlage, der die Art und den Umfang der generierbaren Informa- 
tionen bemisst, da die Bestimmtheit einer Informationspflicht zugleich ein Indi- 
kator für die Gestaltungsmöglichkeit der Verwaltung ist.” 

Ein Großteil der administrativen Informationsverarbeitung wird durch fakti- 
sche und nicht durch normativ vorgegebene Informationsbeziehungen realisiert. 
Diese sind von den formal-rechtlich geordneten Informationsbeziehungen zu 
unterscheiden." Der Vorteil vorrechtlicher Informationsbeziehungen ist nahe- 
liegend. Informelle Strukturen sind offener für Veränderungen der Umwelt und 
im Allgemeinen anpassungsfähiger als formell geregelte. Im Folgenden können 
die vorrechtlichen Informationsbeziehungen zwischen den Akteuren jedoch 
schon mangels erheblicher empirischer Befunde nicht untersucht werden. Ohne- 
hin gilt für die Sicherheitsverwaltung das in Art. 2 EUV und Art. 20 Abs. 3 GG 
verankerte Rechtsstaatsgebot. Es gelten die darin zu verortenden Prinzipien des 
Vorbehalts und des Vorrangs des Gesetzes. Ein Grundsatz nach Art von Gratians 
Decretum des necessitas non habet legem gilt nicht.'”” Die Betrachtung der 
rechtlichen Ausgestaltung ist umso mehr geboten, als staatliche Maßnahmen 
dann nicht frei sind, wenn sie grundrechtssensibel sind. Wurde früher die staat- 
liche Informationsbeschaffung noch als grundrechtsneutral angesehen, weil 
Grundrechtseingriffe mit imperativen Geboten, Verboten und Zwangsmaßnah- 
men definiert wurden, ist mit der modernen Grundrechtsdogmatik die Gewin- 
nung von Informationen über IT-Sicherheit oder zum Zwecke der IT-Sicherheit 
in weiten Teilen als Grundrechtseingriff zu qualifizieren.'?° Die Informations- 
verarbeitung ist nicht nur für den Schutz personenbezogener, sondern auch für 


177 Schmidt-Aßmann, Strukturen europäischer Verwaltung und die Rolle des Europäi- 
schen Verwaltungsrechts, in: Blankenagel/Pernice/Schulze-Fielitz (Hrsg.), Verfassung im 
Diskurs der Welt, 2004, S. 395 (406). 

178 Holznagel, Informationsbeziehungen in und zwischen Behörden, in: Hoffmann-Riem/ 
Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Band II, 2. Aufl. 
2012, § 24 Rn. 7, 8. 

19 Zu dieser Regel Lauta, Disaster Law, 2015, S. 57; zur Rolle informeller Governance 
außerhalb formalisierter Regelungsstrukturen und zur „Entformalisierung staatlichen Han- 
delns“ ausführlich Schoch, Entformalisierung staatlichen Handelns, in: Isensee/Kirchhof 
(Hrsg.), HbStR, Band II, 3. Aufl. 2005, $ 37 Rn. 22 ff., insb. 28, 93. 

180 Zur Entwicklung der Eingriffsdogmatik bis zum Volkszählungsurteil, BVerfGE 65, 1; 
ferner Gusy, VerwArch 1983, 91 ff.; ders., in: Schenke/Graulich/Ruthig (Hrsg.), Sicherheits- 
recht des Bundes, 2014, Vorbemerkung BNDG Rn. 6; zur Zugriffsproblematik Ladeur, Der 
Staat gegen die Gesellschaft, 2006, S. 119 ff., 320 ff. 
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den unternehmensbezogener Daten und hinsichtlich technischer Informationen 
relevant. In diesem Zusammenhang kommt dem Informationsrecht die Aufgabe 
zu, durch „Normierung der Datenströme und -operationen“'®'! die Bedingungen 
und Voraussetzungen für eine Informationskontrolle und organisierte Transpa- 
renz des Systems zu schaffen. 

Bei der Informationsgenerierung kommt ein aus dem klassischen Verwal- 
tungsverfahren bekannter allgemeiner Amtsermittlungsgrundsatz, wie er in 
8 24 VwVfG enthalten ist, bei Verfahren, die keinen Verwaltungsakt bedingen, 
grundsätzlich nicht zur Anwendung.” Eine Behörde kann nach dem genannten 
Grundsatz einen Sachverhalt von Amts wegen ermitteln und dabei Art und Um- 
fang der Ermittlungsarbeit selbst bestimmen. Diszipliniert wird sie bei der In- 
formationsgewinnung durch die Pflicht zur rechtmäßigen Ermessensausübung 
(8 40 VwVfG).'®? Doch der Untersuchungsgrundsatz ist Teil eines Verwaltungs- 
verfahrens, das auf einen Verwaltungsakt ausgerichtet ist ($ 9 VwVfG).'?* 

Außerhalb eines Verwaltungsverfahren kommt für das Verhältnis von Unter- 
nehmen und Verwaltung ein Kontinuum an Informationspflichten in Betracht.'® 
Begrifflich besteht keine Einheitlichkeit. Ungeachtet terminologischer Abwei- 
chungen kann der materielle Regelungsgehalt gleichwohl nach dogmatischen 
Kriterien geordnet werden.'® 

Zentrales Elemente eines vertikalen Informationsflusses sind Informations- 
beibringungspflichten. Als Informationsbeibringungspflichten können die In- 
formationspflichten Privater gegenüber dem Staat bezeichnet werden.'? Die 
Privaten können wie Nichtstörer in Anspruch genommen werden. Diese haben 
Informationen aktiv und selbstständig der Verwaltung beizubringen. Die Norm- 
adressaten werden von sich aus tätig, ohne dass es einer Aufforderung bedarf. 


181 Steinmüller/Ermer/Schimmel, Das System des Datenschutzes, in: dies. (Hrsg.), Daten- 
schutz bei riskanten Systemen, 1978, S. 71 (73). 

182 Zur Bedeutung bei der Erzeugung von Wissen Wollenschläger, Wissensgenerierung 
im Verfahren, 2009, S. 8. 

183 Vgl. Augsberg, Informationsverwaltungsrecht, 2014, S. 44 f. 

184 Im Übrigen kann der Amtsermittlungsgrundsatz je nach Regelungsmaterie von Spezi- 
alregelungen verdrängt werden, $ 128 TKG etwa verdrängt als lex specialis die §§ 24-27 
VwVfG. Dazu Ruffert, in: Säcker (Hrsg.), TKG, 3. Aufl. 2013, $ 128 Rn. 1 ff. 

185 Vgl. Typologie von Sommer, Informationskooperation am Beispiel des europäischen 
Umweltrechts, in: Schmidt-Aßmann/Schöndorf-Haubold (Hrsg.), Der Europäische Verwal- 
tungsverbund, 2005, S. 57 (100 ff.); von Bogdandy, Die Informationsbeziehungen im europä- 
ischen Verwaltungsverbund, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), Grund- 
lagen des Verwaltungsrechts, Band II, 2. Aufl. 2012, § 25 Rn. 13. 

186 Vgl. Herrmann, Informationspflichten gegenüber der Verwaltung, 1997, S. 11. 

187 Diese werden auch als Melde-, Mitteilungs- oder Unterrichtungspflichten bezeichnet. 
Vgl. Stohrer, Informationspflichten Privater gegenüber dem Staat in Zeiten von Privatisie- 
rung, Liberalisierung und Deregulierung, 2007, S. 205 mit weitergehender Aufzählung. 
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Die Verpflichtung besteht kraft Gesetzes. Von diesen Pflichten sind die reakti- 
ven und unselbstständigen Informationspflichten zu unterscheiden. Es bedarf 
grundsätzlich der Aufforderung der staatlichen Stelle, dass der Adressat tätig 
wird. Die abstrakt-generell bestehende Rechtspflicht wird erst durch ein kon- 
kret-individuelles Informationsersuchen ausgelöst.'®® Solche Auskunftspflich- 
ten Privater sind begrifflich an Tatbestandsmerkmalen wie „auf Anforderung“, 
„auf Verlangen“ und vergleichbaren Formulierungen zu erkennen. Die entspre- 
chenden Informationsbefugnisse der Verwaltung werden nachfolgend als Be- 
fugnisse zur Einholung von Informationen bezeichnet. Es bestehen auch Infor- 
mationspflichten, die aktive und reaktive Bestandteile kombinieren. Der Ver- 
pflichtete hat Informationen zu beschaffen sowie bereitzuhalten und auf 
Verlangen der staatlichen Stelle zu übermitteln. 8? 

Von Informationsbeibringungspflichten können Informationsbeschaffungs- 
pflichten unterschieden werden. Darunter können Pflichten der Mitgliedstaaten 
zur Beschaffung von Informationen verstanden werden, die an europäische 
Stellen weiterzugeben sind. Bei solchen Mitteilungspflichten können die Infor- 
mationen bereits bei der der Verwaltung vorhanden sein.!?° Diese Pflichten kön- 
nen typologisch auch zu den Mechanismen der Informationsgenerierung ge- 
zählt werden, werden hier aber wegen des Verhältnisses von Mitgliedstaaten zur 
Union im Kapitel über den Transfer von Informationen berücksichtigt.'?' 

Im Folgenden werden somit die aktiven Informationsbeibringungspflichten 
(L) und die Befugnisse der Verwaltung zur Generierung von Informationen (II.) 
auf den über sie einholbaren Informationsgehalt untersucht. Auch der Aspekt 
Aspekt der administrativen Informations- und Wissensgenerierung, dass die 
Verwaltung aufgrund der technischen und gesellschaftlichen Komplexität zur 
Kompensation von Wissensdefiziten zunehmend verwaltungsexterne Sach- 
kenntnis einholen muss, ist von wesentlicher Bedeutung und daher ebenfalls zu 
beleuchten (III.). 


188 Berliner, Informationsbefugnisse der Bundesnetzagentur im Telekommunikations- 
recht, 2012, S. 32, der auch dazu Stellung nimmt, ob es sich bei einer solchen Anordnung um 
einen Verwaltungsakt handelt, was bestritten werden kann, weil die Erkenntnisgewinne der 
Verwaltung nicht immer auf eine Entscheidung oder einen Erlass einer Regelung hinauslau- 
fen. Vgl. auch Röhl, Ausgewählte Verfahrensarten, in: Hoffmann-Riem/Schmidt-Aßmann/ 
Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Band II, 2. Aufl. 2012, $ 30, Rn. 40, 
47. Im Ergebnis solle es sich bei solchen Auskunftsverlangen um Verwaltungsakte handeln. 

19 Vgl. Herrmann, Informationspflichten gegenüber der Verwaltung, 1997, S. 11. 

190 Sommer, Informationskooperation am Beispiel des europäischen Umweltrechts, in: 
Schmidt-Aßmann/Schöndorf-Haubold (Hrsg.), Der Europäische Verwaltungsverbund, 2005, 
S. 57 (61). 

191 Siehe § 4. 
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I. Pflichten zur Beibringung von Informationen 


Unionsrechtlich indiziert sind Pflichten zur Beibringung von Sicherheitsnach- 
weisen (1.), die Meldung spezifischer Sicherheitsvorfälle (2.) und die Meldung 
von Datenschutzverletzungen (3.). 


1. Sicherheitsnachweise 


Telekommunikationsunternehmen (a), die Betreiber wesentlicher bzw. kriti- 
scher Infrastrukturen (b) und die Anbieter digitaler Dienste (c) haben gegenüber 
den NIS-Behörden Sicherheitsnachweise zu erbringen. 


a) Vorlage des Sicherheitskonzeptes von Telekommunikationsunternehmen 


Die zentralen unionsrechtlichen Vorschriften für die Netz- und Informations- 
sicherheit im Telekommunikationsrecht sind Art. 13a und Art. 13b der RL (EG) 
2002/21/EG!” Den Betreibern von Telekommunikationsnetzen und Anbietern 
von Telekommunikationsdiensten werden durch die Vorschrift materiell-recht- 
liche Pflichten zur Gefahrenvorsorge sowie informationsverwaltungsrechtliche 
Pflichten auferlegt. Im Wesentlichen setzt $ 109 TKG die Pflichten in nationales 
Recht um. 

Nach $ 109 Abs. 4 S. 1 TKG haben die Betreiber von öffentlichen Telekom- 
munikationsnetzen und Erbringer öffentlich zugänglicher Telekommunikations- 
dienste einen Sicherheitsbeauftragten zu benennen und ein Sicherheitskonzept 
zu erstellen. 

Die Betreiber eines öffentlichen Telekommunikationsnetzes haben das Si- 
cherheitskonzept der Bundesnetzagentur unverzüglich nach der Aufnahme des 
Netzbetriebs vorzulegen ($ 109 Abs. 4 S.2 TKG). Für die Erbringer von Tele- 
kommunikationsdiensten besteht diese Pflicht erst nach Aufforderung durch die 
Bundesnetzagentur ($ 109 Abs. 4 S.3 TKG). Diese Differenzierung ergibt sich 
nicht aus einer geringeren Bedeutung der Informationen über das Sicherheits- 
konzept der Diensteanbieter. Sie dient vielmehr der Entlastung kleinerer Anbie- 
ter und der effektiveren Aufgabenerfüllung der Bundesnetzagentur.'”° Die Re- 
gelung steht mit der korrespondierenden Bestimmung in der Richtlinie nicht in 
Konflikt. Art. 13b Abs. 2 a) RL (EG) 2002/21/EG verpflichtet die Mitgliedstaa- 
ten lediglich dazu, sicherzustellen, dass die Behörden befugt sind, die Über- 
mittlung der Informationen vorzuschreiben. 

Hinsichtlich des Umfangs der durch die Unternehmen beizubringenden In- 
formationen lässt die Richtlinie den Mitgliedstaaten vergleichsweise viel Raum. 


192 Im Folgenden jeweils in Verbindung mit der Änderungs-RL (EG) 2009/140/EG. 
193 BT-Drs. 17/5707, S. 83. 
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Die Behörden sollen die Übermittlung der „erforderlichen Informationen, ein- 
schließlich der Unterlagen über die Sicherheitsmaßnahmen‘““, vorschreiben dür- 
fen. Konkretisiert werden diese Anforderungen an den Inhalt des Sicherheits- 
konzepts in $ 109 Abs. 4 S. 1 Nr. 1 bis 3 TKG. Mindestens aus dem Konzept 
hervorgehen muss, welche Telekommunikationsanlagen eingesetzt und welche 
Telekommunikationsdienste für die Öffentlichkeit erbracht werden (Nr. 1), die 
Erfassung der Gefährdungslage (Nr. 2) und welche Schutzmaßnahmen zur Ein- 
haltung der Verpflichtungen aus $ 109 Abs. 1 und 2 TKG getroffen oder geplant 
sind (Nr. 3). 

Die Umsetzung der drei Anforderungen ist konkret zu beschreiben. Eine 
schematische Konzeptbeschreibung reicht nicht aus. Die Bundesnetzagentur 
muss erkennen können, welche Anlagen eingesetzt und welche Dienste erbracht 
werden. Erforderlich ist die Beschreibung ihrer Funktion.'” Hinsichtlich der 
Gefährdungen reicht eine abstrakte Analyse nicht aus.!” Die Darstellung der 
Gefährdungen ist weit und umfasst elementare physische Gefährdungen wie 
Blitzeinschlag oder Vandalismus, aber auch technische Störungen und organi- 
satorische Gefährdungen.'?”’ Die Gefährdungen müssen für jedes Sicherheits- 
system ermittelt werden. Den Sicherheitsteilsystemen sind dann, sofern mög- 
lich, die Schutzziele der Sicherheit zuzuordnen. Hervorgehen soll aus der Be- 
schreibung ferner, ob die Systeme personenbezogene Daten verarbeiten und 
speichern können.” 

Das Erstellen eines Sicherheitskonzepts dient in kognitiver Dimension meh- 
reren Zwecken. Zunächst dient das Sicherheitskonzept dem Betreiber zur eige- 


194 Eckhardt, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2014, $ 109 Rn. 56 ff. 

195 Informationen über die geographischen Standorte bestimmter Telekommunikations- 
einrichtungen erhält die Bundesnetzagentur jedenfalls über den 2016 zur Umsetzung der 
Richtlinie 2014/61/EU des Europäischen Parlaments und des Rates über Maßnahmen zur 
Reduzierung der Kosten des Ausbaus von Hochgeschwindigkeitsnetzen für die elektronische 
Kommunikation ergänzten $ 77a TKG. Nach $ 77a Abs. 1 TKG ist die Bundesnetzagentur die 
zentrale Stelle des Bundes für den sog. Infrastrukturatlas. Die Bundesnetzagentur kann von 
Eigentümern oder Betreibern öffentlicher Versorgungsnetze, die über Einrichtungen verfü- 
gen, die zu Telekommunikationszwecken genutzt werden können, diejenigen Informationen 
verlangen, die für eine gebietsbezogene Übersicht erforderlich sind. Die Datenlieferungsver- 
pflichtung gegenüber der Bundesnetzagentur umfasst sicherheits- und versorgungsrelevante 
Infrastrukturen. Erst in der zweiten Stufe prüft die Behörde, welche Daten sie nicht in den 
Infrastrukturatlas aufnimmt (vgl. $ 77a Abs. 4 TKG). Siehe dazu OVG Münster, Beschluss 
vom 07.01.2016 — 13 A 999/15. 

196 Eckhardt, Öffentliche Sicherheit, in: Heun (Hrsg.), Handbuch Telekommunikations- 
recht, 2. Aufl. 2007, S. 61 (86 f.). 

197 Vgl. Bundesnetzagentur, Leitfaden zur Erstellung eines Sicherheitskonzepts gemäß 
$ 109 Abs. 3 TKG, Stand Januar 2006, S. 16ff. und 37 ff. 

198 Mitteilung Nr. 985/2012 in ABl. Bundesnetzagentur 2012, S. 4156. 
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nen Bewusstseinsbildung über die sicherheitsrelevante Beurteilung von Sicher- 
heitsteilsystemen und der Beurteilung der Sicherheit, Integrität und Verfügbar- 
keit von Netzen und Diensten.” Weiter erhält die Bundesnetzagentur durch die 
Vorlage einen metaperspektivischen Blick auf die Gefährdungslage. Die Vorla- 
ge mehrerer und verschiedener Konzepte durch die verschiedenen Betreiber 
und Erbringer ermöglicht einen Vergleich, sodass die Bundesnetzagentur die 
Plausibilität der Selbsteinschätzung überprüfen kann. Die Bundesnetzagentur 
wird grundsätzlich in die Lage versetzt, Sicherheitsmängel sowohl im Sicher- 
heitskonzept als auch bei dessen Umsetzung zu erkennen ($ 109 Abs. 4 S. 4 TKG). 

Die Verpflichtung zur Vorlage des Sicherheitskonzepts ist keine einmalige 
Handlungspflicht. Die Bundesnetzagentur bleibt auf den aktuellen Stand des Si- 
cherheitskonzepts, da es fortzuschreiben ist, sobald sich Sicherheitsfaktoren, die 
dem Konzept zugrundeliegen, ändern. Die Bedeutung der Vorlage des Sicher- 
heitskonzepts für die Sicherheitsgewährleistung lässt sich an der Kritik des Bun- 
desverfassungsgerichts an der Vorgängervorschrift ablesen. Das Gericht hatte in 
seinem Urteil zur Vorratsdatenspeicherung mit Blick auf die Vorgängervorschrift 
8 109 Abs. 3 TKG a.F. kritisiert, dass sie keine hinreichende Datensicherheit ge- 
währleiste, weil es an einer Verpflichtung zu einer periodisierenden Fortschrei- 
bung des Sicherheitskonzepts fehle, die eine effektive Kontrolle des einzuhalten- 
den Sicherheitsstandards ermögliche.? Nach den durch das IT-Sicherheitsgesetz 
eingeführten Sätzen 7 und 8 des $ 109 Abs. 4 TKG überprüft die Bundesnetz- 
agentur die Umsetzung der Konzepte nunmehr regelmäßig mindestens alle zwei 
Jahre. Bei der Überprüfung kann sich die Bundesnetzagentur der aufsichtsrecht- 
lichen Informationsbefugnis des $ 115 Abs. 1 und 2 TKG bedienen.” 


b) Nachweis der Sicherheit von Betreibern wesentlicher Dienste bzw. 
kritischer Infrastrukturen 


Die Mitgliedstaaten haben die unionsrechtliche Pflicht sicherzustellen, dass die 
zuständigen Behörden über die Befugnisse und Mittel verfügen, von den Betrei- 
bern wesentlicher Dienste verlangen zu können, dass diese die zur Bewertung 
der Sicherheit ihrer Netz- und Informationssysteme erforderlichen Informatio- 
nen sowie Nachweise über die wirksame Umsetzung der Sicherheitsmaßnah- 
men zur Verfügung stellen (Art. 15 Abs. 2 NIS-RL). Die Pflicht ist im Wesent- 
lichen durch $ 8a Abs. 3 BSIG umgesetzt. Die Betreiber kritischer Infrastruk- 
turen müssen die Einhaltung der Sicherheitsanforderungen alle zwei Jahre dem 
BSI „auf geeignete Weise“ nachweisen. 


19 Graulich, in: Arndt/Fetzer/Scherer/ders. (Hrsg.), TKG, 2. Aufl. 2015, § 109 Rn. 30. 
200 BVerfGE 125, 260 (349). 
21 BT-Drs. 18/4096, S. 35; BT-Drs. 17/5707, S. 83; dazu ferner unter § 3 D. III. 
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Die nähere Spezifizierung der Geeignetheit der Art und Weise des Nachweises 
wird im Gesetz selbst, trotz der Bedeutung für die Praxis, weitgehend offenge- 
lassen. Der Nachweis kann durch Sicherheitsaudits, Zertifizierungen oder Prü- 
fungen erbracht werden. Dabei handelt es sich nicht um synonym zu verstehende 
Begriffe.” Sicherheitsaudits bestätigen die Eignung eines Sicherheitsmanage- 
mentsystems.? Sicherheitszertifikate dagegen betreffen ein IT-Produkt, einen 
Prozess oder ein Profil.2°* Welche Bedeutung der Prüfung als dritte Variante 
zukommt, ist unklar. Das Anliegen der Nachweispflicht ist es, dass die Behörde 
darüber Kenntnis erlangt, ob ein Betreiber die für seine Branche und Technolo- 
gie geeigneten und wirksamen Maßnahmen und Empfehlungen befolgt.” Dabei 
geht es vor allem um die Kenntnis davon, ob ein Informationssicherheitsmanage- 
ment, d.h. ein Sicherheits- und Risikomanagement, eingerichtet ist, ob kritische 
Anlagen und Einrichtungen überhaupt identifiziert wurden und administriert 
werden, ob und welche Maßnahmen zur Angriffsprävention und -erkennung be- 
trieben werden, ob ein Betriebs-Kontinuitätsmanagement implementiert ist oder 
ob branchenspezifische Besonderheiten berücksichtigt sind.? 

Das Gesetz trifft entgegen der sonst im technischen Sicherheitsrecht bekann- 
ten Vorgaben keine Regelung hinsichtlich der Qualifikation und Akkreditierung 
der durchführenden Stellen, der Verfahrensanforderungen und der materiellen 
Standards.?°” Die korrespondierende Unionsvorschrift in Art. 15 Abs. 2 NIS- 
RL erfordert es aber, dass ein „qualifizierter Prüfer“ die Sicherheitsüberprü- 
fung durchführt. Durch $ 8 Abs. 4 BSIG wird das BSI allerdings ermächtigt, 
Anforderungen an das Prüfungsverfahren, die auszustellenden Nachweise so- 
wie die fachlichen und organisatorischen Stellen nach Anhörung der betroffe- 
nen Betreiber und Wirtschaftsverbände festzulegen. Aus epistemischer Sicht 
hat das BSI dadurch einen erheblichen Einfluss auf die generierbaren Informa- 
tionen, da das Ergebnis der Prüfung maßgeblich davon abhängig ist, wer ein 
Audit oder Zertifikat ausstellt und nach welcher Methode und in welchem Ver- 


202 Vgl. aber Eckhardt, ZD 2014, 599 (601). 

203 Siehe Roßnagel, Datenschutzaudit, 2000, S. 56 ff. 

204 Roßnagel, Das Konzept des Datenschutzaudits, in: ders. (Hrsg.), Handbuch Daten- 
schutzrecht, 2003, S. 437 (462 ff.). 

205 Zur erheblichen Relevanz von Schwachstellenberichten für Unternehmen siehe die 
Anordnung der Federal Trade Commission, In Re ASUSTeK, Agreement Containing Con- 
sent Order, File No. 1423156; zur Gefahr der Bürokratisierung durch Neumann, A-Drs. 
18(4)284 F S. 9. 

206 BT-Drs. 18/4096, S. 44. 

207 Spindler, CR 2016, 297 (300). Die §§ 2 Abs. 7, 9 BSIG betreffen die Zertifizierung die 
IT-Sicherheit der Bundesverwaltung durch das BSI als zertifizierende Stelle. Zur Kritik 
Hornung, A-Drs. 18(4)284 G, S. 9; Heinickel/Feiler, CR 2014, 708 (712), Roth, ZD 2015, 17 (21). 
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fahren (z.B. aussagekräftige Penetrationstests) das Ergebnis zustande gekom- 
men ist. 

Das Fehlen gesetzlicher Vorgaben ist insofern problematisch, als ein konkre- 
ter Maßstab für die Sicherheitsprüfungen fehlt, sofern noch kein branchenspe- 
zifischer Sicherheitsstandard gemäß $ 8a Abs. 2 BSIG besteht bzw. noch nicht 
im Wege der Selbstregulierung etabliert wurde oder sich der Betreiber nicht zur 
Implementierung eines solchen Standards entschieden hat. Wenig praktikabel 
wäre es, die materiell-rechtliche Verpflichtung zu „angemessenen“ technischen 
und organisatorischen Schutzvorkehrungen gemäß $ 8a Abs. 1 BSIG als Audi- 
ting-Maßstab heranzuziehen, da auch diese nicht hinreichend gesetzlich be- 
stimmt sind. Aus diesem Grunde kann vor dem Hintergrund des Wesentlich- 
keits- und Bestimmtheitsgebot gefordert werden, dass die methodischen Krite- 
rien gesetzlich bestimmt sind,” zumal die Legitimation der Nachweiserstellung 
maßgeblich von akzeptierten Kriterien abhängt. Wegen entsprechender verfas- 
sungsrechtlicher Bedenken im Hinblick auf die Tätigkeit von Zertifizierungs- 
stellen wurde die Vorschrift des $ 18 SigG eingeführt,” der gesetzlich näher 
die Anforderung an die anerkennenden und prüfenden Stellen bei Zertifizierun- 
gen von Produkten elektronischer Signaturen regelt. 

Zu übermitteln sind dem BSI eine „Aufstellung“ der durchgeführten Audits, 
Prüfungen oder Zertifizierungen einschließlich der durch sie aufgedeckten Si- 
cherheitsmängel ($ 8a Abs. 3 S.3 BSIG). Mit Blick auf Art. 15 Abs. 2 NIS-RL 
bleibt die Bestimmung damit unter der unionsrechtlichen Anforderung. Danach 
müssen die Mitgliedstaaten über die Mittel- und Befugnisse verfügen können, 
die „Ergebnisse“ der Prüfungen aufzufordern. Die Verwendung des Wortes 
„Aufstellung“ kann auch so verstanden werden, dass lediglich eine Auflistung 
der durchgeführten Maßnahmen erforderlich ist. Insofern besteht für $ 8a Abs. 3 
S.3 BSIG Klarstellungsbedarf. 


c) Nachweis der Sicherheit von Anbietern digitaler Dienste 


Anbieter digitaler Dienste haben wie die Betreiber wesentlicher Dienste Nach- 
weise über ihre Sicherheitsgewährleistung zu erbringen. Gemäß Art. 17 Abs. 2 
a) NIS-RL müssen die mitgliedstaatlichen Behörden über die Befugnisse und 
Mittel verfügen, von den Anbietern digitaler Dienste die zur Beurteilung der 
Sicherheit ihrer Netz- und Informationssysteme erforderlichen Informationen 
einschließlich der nachweislichen Sicherheitsmaßnahmen einzufordern. 


208 Eckhardt ZD 2014, 599 (601). 
209 Gramlich/Orantek, in: Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, 
3. Aufl. 2015, SigG, $ 18 Rn. 5. 
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Diese Pflicht ist de lege lata nicht in das deutsche Recht umgesetzt, weder im 
BSIG, noch, soweit digitale Dienste in den Anwendungsbereich des TMG fal- 
len, in $ 13 TMG. 

Die Umsetzung kann sich nicht gänzlich an der Regelungstechnik orientie- 
ren, die für den Sicherheitsnachweis durch Betreiber kritischer Infrastrukturen 
gilt. Die Einhaltung der Sicherheitspflichten dürfen die nationalen Behörden 
nicht im Vorhinein, sondern nur im Nachhinein überwachen. Im Wege einer 
Ex-post-Überwachungsmaßnahme darf die NIS-Behörde nur dann tätig wer- 
den, wenn ihr ein Nachweis darüber vorliegt, dass ein Anbieter die Sicherheits- 
anforderungen nicht einhält.*!° Als Nachweise sollen auch solche Feststellungen 
gelten, die der NIS-Behörde von den zuständigen Behörden eines anderen Mit- 
gliedstaats vorgelegt werden (§ 17 Abs. 2 S. 2 NIS-RL). Auf diese Weise können 
Fälle erfasst werden, in denen der Ort der Hauptniederlassung und die Netz- 
und Informationssysteme, die im Rahmen der Bereitstellung der digitalen 
Dienste genutzt werden, in unterschiedlichen Mitgliedstaaten gelegen sind. 

Der durch die Anbieter zu erbringende Sicherheitsnachweis ist in inhaltlicher 
Hinsicht bestimmter als die Nachweispflicht der Betreiber wesentlicher Dienste. 
Während den Behörden bei den Betreibern wesentlicher Dienste sekundärrecht- 
lich die zur „Bewertung“ erforderlichen Informationen zur Verfügung gestellt 
werden müssen, sind ihnen von den Anbietern digitaler Diente die zur „Beurtei- 
lung“ erforderlichen Informationen zur Verfügung zu stellen. Eine Beurteilung ist 
insofern zu ermöglichen, als die materiellen Sicherheitsanforderungen spezifi- 
scher sind. Art. 16 Abs. 1 S. 2 NIS-RL fordert, dass durch die dem Risiko angemes- 
senen Sicherheitsmaßnahmen der Anbieter digitaler Dienste der Sicherheit der 
Systeme und Anlagen, der Bewältigung von Sicherheitsvorfällen, dem Betriebs- 
kontinuitätsmanagement, der Überwachung, Überprüfung und Erprobung sowie 
der Einhaltung der internationalen Normen Rechnung zu tragen ist. Im Umkehr- 
schluss daraus ergibt sich, dass aus dem Nachweis hervorgehen muss, inwiefern 
die genannten Maßnahmen berücksichtigt wurden und inwiefern sie bestehenden 
Risiken angemessen sind. Gegenstand der anlassbezogen zu erbringenden Nach- 
weise sind darüber hinaus die Maßnahmen, die aufgrund der von der Kommission 
nach Art. 16 Abs. 8 NIS-RL erlassenen Durchführungsakte, welche die Sicher- 
heitsanforderungen genauer bestimmen, von den Anbietern getroffen wurden.”'! 


210 Zur Möglichkeit, dass dieser Nachweis im Wege des Informationsaustausches mit ei- 
nem anderen Mitgliedstaat vorgelegt werden kann, siehe § 4 B. IL, III. 

2!! Zur Funktion der Durchführungsrechtssetzung in der Informationsgenerierung und 
der Abgrenzung von delegierter Rechtssetzung siehe $3 D. I. 2. c) bb). 
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2. Meldepflichten bei Sicherheitsverletzungen 


Ein wichtiges informationsverwaltungsrechtliches Instrument zur Generierung 
von Erkenntnissen über Sicherheitsvorfälle in Unternehmen sind Meldepflich- 
ten. Die Betreiber von Telekommunikationsnetzen und Anbieter von Telekom- 
munikationsdiensten (a), die Betreiber wesentlicher Dienste bzw. kritischer In- 
frastrukturen (b) als auch Anbieter digitaler Dienste (c) haben unter bestimmten 
Voraussetzungen aktuelle und potenzielle Störungen der NIS-Behörde zu mel- 
den. Informationen über Sicherheitsvorfälle können daneben auf Basis freiwil- 
liger Meldungen generiert werden (d). 


a) Betreiber von Telekommunikationsnetzen und Anbieter von 
Telekommunikationsdiensten 


Die Mitgliedstaaten haben gemäß Art. 13b Abs. 3 UAbs. 1 RL 2009/140/EG?"? 
sicherzustellen, dass die Unternehmen, die öffentliche Kommunikationsnetze 
oder öffentlich zugängliche elektronische Kommunikationsdienste bereitstel- 
len, der zuständigen nationalen Regulierungsbehörde eine Verletzung der Si- 
cherheit oder einen Verlust der Integrität mitteilen, die bzw. der beträchtliche 
Auswirkungen auf den Betrieb der Netze oder die Bereitstellung der Dienste 
hatte. Der Umsetzung dieser Pflicht dient $ 109 Abs. 5 TKG. Nach dessen Satz 1 
haben die Betreiber und Anbieter unverzüglich solche Beeinträchtigungen von 
Telekommunikationsnetzten und -diensten der Bundesnetzagentur mitzuteilen, 
die zu beträchtlichen Sicherheitsverletzungen führen oder führen können. 


aa) Anlass der Meldung 


Der Anlass einer Meldung ist zunächst eine Beeinträchtigung. Eine Beeinträch- 
tigung erfordert nicht, dass bereits eine Auswirkung eingetreten ist.” Die Be- 
einträchtigung muss zu einer beträchtlichen Sicherheitsverletzung führen oder 
führen können. Der Begriff der Sicherheitsverletzung ist im TKG an keiner 
Stelle definiert. Durch Abgrenzung zu der Benachrichtigungspflicht in $ 109a 
TKG zeigt sich, dass eine Sicherheitsverletzung nicht notwendig inhaltsgleich 
mit der Verletzung des Schutzes personenbezogener Daten ist.” Die sich aus 
einer solchen Verletzung ergebende Benachrichtigungspflicht für die betroffe- 
nen Nutzer resultiert nämlich aus $ 93 Abs. 3 TKG in Verbindung mit § 109a 
TKG. Eine gleichlautende Auslegung würde zu einer systemwidrigen Dopplung 


212 RL (EG) 2002/21/EG, geändert durch die RL (EG) 2009/140/EG. 

213 Kritisch Heinickel/Feiler, CR 2014, 708 (714). 

214 Eckhardt, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, $ 109 Rn. 71, $ 109a 
Rn. 5, 15. 
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der Meldepflicht führen, zumal $ 109a TKG der Umsetzung einer anderen 
Richtlinie dient." 

Die Bestimmung der tatbestandlichen Voraussetzungen der Meldepflicht hat 
sich daher an den sich aus Art. 13 RL 2009/140/EG und $ 109 TKG ergebenden 
Verpflichtungen zu orientieren. Aus der Zusammenschau von Art. 13a Abs. 3 RL 
2009/140/EG in Verbindung mit $ 109 Abs. 5 S. 1 TKG sowie mit den in Art. 13a 
Abs. 1 und 2 RL 2009/140/EG bzw. § 109 Abs. 1 und 2 TKG niedergelegten ma- 
teriell-rechtlichen Pflichten zur Sicherheitsgewährleistung folgt zum einen, dass 
die Sicherheit durch die Verletzung der Vertraulichkeit, Integrität, Authentizität 
oder Einschränkung der Verfügbarkeit betroffen ist, und zum anderen, dass mit 
Sicherheitsverletzung insbesondere „Störungen“ von Telekommunikationsnet- 
zen oder -diensten gemeint sind (vgl. auch $ 109 Abs. 5 S.2 TKG: „Dies schließt 
Störungen ein, [...]“). Der zentrale Begriff der Störung ist seinerseits auslegungs- 
bedürftig. Mangels näherer Bestimmung in der Vorschrift selbst bietet sich eine 
Anlehnung an den Störungsbegriff des $ 100 TKG an. Dort ist der Begriff zentral 
für die möglichen Abwehrmaßnahmen von Anbietern von Telekommunikations- 
diensten gegen Cyberangriffe.?'° Telekommunikationsdiensteanbieter können 
auf Grundlage von $ 100 Abs. 1 S. 1 TKG Bestands- und Verkehrsdaten erheben 
und verwenden, „um Störungen oder Fehler an Telekommunikationsanlagen zu 
erkennen, einzugrenzen oder zu beseitigen.“ Nach einem herkömmlichen Ver- 
ständnis bezieht sich die Störung auf Veränderungen der physikalischen Beschaf- 
fenheit von den für die Telekommunikation verwendeten Gerätschaften. Für die- 
ses Verständnis lässt sich der Begriff der Telekommunikationsanlage in $ 3 Nr. 23 
TKG heranziehen, die als „technische Einrichtung oder System“ verstanden 
wird. Ein enges Verständnis des Störungsbegriffs wird jedoch den Schutzzielen 
der Netz- und Informationssicherheit nicht gerecht. Geboten ist vielmehr eine 
weite Auslegung, die den Begriff der Störung funktional versteht. Eine Störung 
liegt dann auch vor, wenn die eingesetzte Technik die ihr zugedachten Funktio- 
nen nicht mehr richtig oder nicht vollständig erfüllen kann.?’” Erfasst ist folglich 
jede nicht gewollte Veränderung der vom Telekommunikationsdiensteanbieter 
für sein Telekommunikationsangebot genutzten technischen Einrichtung. Dazu 
zählen Fälle von Sicherheitslücken, Schadprogrammen und erfolgte und versuch- 
te — darunter auch erfolgreich abgewehrte — Angriffe auf die Sicherheit in der 
Informationstechnik, aber auch außergewöhnliche und unerwartete technische 


215 Inhaltlich setzt § 109a TKG den Art. 4 Abs. 3 bis 4 der RL (EG) 2002/58/EG um. 

216 Siehe § 3 E. II. 2. a). 

217 BGH, NJW 2014, 2500 (2501); siehe auch BGH, NJW 2011, 1509 (1511); Gramlich, in: 
Manssen (Hrsg.), Telekommunikations- und Multimediarecht, 36. Aufl. 2015, C, $ 100, Rn. 16; 
Mozek, in: Säcker (Hrsg.), TKG, 3. Aufl. 2013, $ 100, Rn. 7. 
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Defekte mit Bezug zur Informationstechnik, etwa ein Ausfall von physischen 
Anlagen wie der Serverkühlung oder Defekte nach Softwareupdates.?"® 

Die meldepflichtigen Sicherheitsverletzungen schließen nach $ 109 Abs. 5 
S.2 TKG auch solche Störungen ein, die zur Einschränkung der Verfügbarkeit 
der über diese Netze erbrachten Dienste oder zu einem unerlaubten Zugriff auf 
Telekommunikations- und Datenverarbeitungssysteme der Nutzer führen kön- 
nen. Die Formulierung „über diese Netze erbrachten Dienste“ verweist auf 
Schutzgüter, die von denen in Abs. 5 S. 1 abweichen. Dort sind diese ein „Netz“ 
oder ein „Dienst“. Durch Satz 2 einbezogen sind auch Fälle im Vorfeldbereich, 
d.h. dem Stadium, in dem Angreifer Nutzersysteme mit Schadsoftware infizie- 
ren, um die Telekommunikations- und Datenverarbeitungssysteme der Nutzer 
zu einem Botnetz zusammenschließen und später für einen gezielten Miss- 
brauch ausnutzen zu können.?? 

Die Meldepflicht auslösende Schwelle ist im Vergleich zur alten Fassung?” 
der Vorschrift durch die Novellierung des Wortlauts durch das IT-Sicherheitsge- 
setz”?! in zweifacher Hinsicht gesenkt worden. Zum einen bezog sich nach $ 109 
Abs. 5 S. 1 TKG a. F. die Meldepflicht auf „Sicherheitsverletzungen einschließ- 
lich Störungen“. $ 109 Abs. 5 Abs. 1 TKG bezieht sich dagegen nur auf „Beein- 
trächtigungen von Telekommunikationsnetzen und -diensten“. Die Melde- 
schwelle ist insofern niedriger, als ähnlich wie im Gefahrenabwehrrecht eine 
Beeinträchtigung noch nicht den Grad einer Störung erreichen muss. Die Mel- 
depflicht kann dadurch tendenziell früher ausgelöst werden. Zum anderen wa- 
ren nach der alten Fassung der telekommunikationsrechtlichen Meldepflicht nur 
solche Sicherheitsvorfälle zu melden, durch die „beträchtliche Auswirkungen 
[...] entstehen.“ Nunmehr erstreckt sich die Meldepflicht auch auf Störungen, 
die nicht nur zu einer Einschränkung der Verfügbarkeit führen, sondern auch 
„führen können“. Diese für die Telekommunikationsunternehmen als Eingriff 
wirkende Pflichtenerweiterung kann damit gerechtfertigt werden, dass eine 
Verbesserung des Lagebildes bezüglich des Vorfeldbereichs erforderlich ist, 
weil Telekommunikationsdienste zum „Rückgrat der Informationsgesellschaft“ 


218 BT-Drs. 18/4096, S. 46. 

219 Roos, MMR 2014, 723 (727). Als Botnetz wird ein Verbund von Systemen bezeichnet, 
die von einem fernsteuerbaren Schadprogramm befallen sind. Prinzipiell kann jedes internet- 
fähige System Teil eines Botnetzes werden. Der Zugriff auf Bots erfolgt über zentrale Syste- 
me (sog. Command-and-Control-Server), die von den Botnetz-Betreibern kontrolliert werden 
und die es ermöglichen, den Bots Steuerbefehle zu schicken. Siehe dazu Bundesamt für Si- 
cherheit in der Informationstechnik, Die Lage der IT-Sicherheit in Deutschland, 2016, S. 26. 

220 8109 Abs.5 TKG (a.F.) angefügt mit Wirkung vom 10.5.2012 durch Gesetz vom 
3.5.2012 (BGBl. I S. 958). 

221 8 109 Abs. 5 TKG neu gefasst mit Wirkung vom 25.7.2015 durch Gesetz vom 17.7.2015 
(BGBl. I S. 1324). 
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gehören.” Eine höhere Bewertung der Gefährdung und Schutzwürdigkeit von 
Informationstechnik und Telekommunikation genügt somit $2 Abs. 10 S.1 
Nr. 1 BSIG, nach dem die benannten Sektoren zu den kritischen Infrastrukturen 
gehören. Vor der Neufassung waren tatsächliche Störungen außerdem nur dann 
meldepflichtig, wenn die verursachten Auswirkungen beträchtlich waren. 

Dem Wortlaut nach ist die Meldepflicht nicht auf eigene Netze oder Dienste 
beschränkt. Daraus kann gefolgert werden, dass bemerkte Beeinträchtigungen 
in fremden Netzen oder Diensten ebenfalls meldepflichtig sind. Beispielsweise 
wäre die Kenntnis über einen mit Schadsoftware infizierten Server meldepflich- 
tig, wenn dieser versucht, fremde Systeme erheblich zu beeinträchtigen.” 

Eingeschränkt wird die Meldepflicht durch das tatbestandliche Erfordernis 
einer „beträchtlichen“ Sicherheitsverletzung. Wann eine Sicherheitsverletzung 
als beträchtlich zu qualifizieren ist, ist nicht näher bestimmt. Ausgehend von der 
allgemeinen Bedeutung meint „beträchtlich“ so viel wie „sehr“, „wahrnehmbar“ 
oder „erheblich“.** Die Sicherheitsverletzung muss also eine Signifikanz auf- 
weisen, die aus aus der Menge der sonstigen Sicherheitsverletzungen herausste- 
chen lässt. Meldepflichtig ist folglich nicht bereits jede tatsächliche oder mögli- 
che Störung von Telekommunikationsnetzen und -diensten. Der systematische 
Vergleich ergibt, dass die Meldepflicht für Betreiber kritischer Infrastrukturen 
an eine „erhebliche Störung“ anknüpft ($ 8b Abs. 4 S. 1 BSIG). Aufgrund der 
Vergleichbarkeit des meldepflichtigen Ereignisses bietet sich eine Anlehnung an 
den Begriff der Erheblichkeit der Störung an.?”® Das qualifizierende Merkmal 
„beträchtlich“ gleicht die Weite des Störungsbegriffs aus. Es bedarf daher keiner 
teleologischen Reduktion des Verständnisses von „Störung“. 

Die Bundesnetzagentur als Adressatin der Meldepflicht geht davon aus, dass 
es den Verpflichteten obliegt, mit einer Bewertung in eigener Verantwortung 
festzustellen, ob eine Beeinträchtigung zu einer beträchtlichen Sicherheitsver- 
letzung führen kann. Das Umsetzungskonzept der Bundesnetzagentur zu $ 109 
Abs. 5 TKG legt nahe, die darin beschriebenen Kriterien zur fallbezogenen Be- 
wertung heranzuziehen.””* Zu den Bewertungskriterien gehören die betroffenen 
Teilnehmerstunden (zeitliche Beeinträchtigung der Integrität, Vertraulichkeit, 
Authentizität oder Verfügbarkeit), die Auswirkung auf internationale Zusam- 
menschaltung (Zusammenschaltungspunkte mit internationaler Zielrichtung) 


222 BT-Drs. 18/4096, S. 62. 

223 Leisterer/Schneider, CR 2014, 574 (576). 

224 Duden, Eintrag „beträchtlich“, http://www.duden.de/rechtschreibung/betraechtlich. 

25 Siehe § 3 D. I. 2. b). 

226 So Bundesnetzagentur, Umsetzung des § 109 Absatz 5 TKG zur Mitteilung einer Si- 
cherheitsverletzung (Umsetzungskonzept), Abl. [Nr. 2], Stand: 27.07.2016, Version 3.0, S. 4, 
online abrufbar. 
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und die Auswirkung auf die Notruflenkung. Bei entsprechender Ausprägung 
kann jedes Kriterium für sich alleine bereits hinreichend für eine Einstufung als 
mitteilungspflichtige Beeinträchtigung sein.” 

Obwohl das BSI die zentrale Meldestelle für die Betreiber kritischer Infra- 
strukturen ist, sind die Meldungen nur an die Bundesnetzagentur zu richten. 
Inwieweit dies dem Anliegen, ein möglichst vollständiges Lagebild über Beein- 
trächtigungen beim BSI zu erzeugen, widerstrebt, ist vor allem eine Frage der 
Weitergabe der Informationen.?*® 


bb) Inhalt der Meldung 


Die Umsetzung der Meldepflicht ist weitgehend den Mitgliedstaaten überlassen. 
Die Kommission kann gemäß Art. 13a Abs. 4 RL 2009/140/EG geeignete tech- 
nische Durchführungsmaßnahmen zur Harmonisierung der Meldepflicht be- 
schließen.” Dazu gehören Maßnahmen, mit denen Umstände, Form und Ver- 
fahren der Meldung festgelegt werden. Die Expertise der ENISA ist dabei 
„weitestgehend“ zu berücksichtigen. Die Kommission hat solche Maßnahmen 
bislang nicht festgelegt.” 

Der Struktur des $ 109 Abs. 5 TKG folgend, ist hinsichtlich der im Einzelnen 
in der Meldung anzugebenden Daten und Informationen zwischen der initialen 
Kurzmitteilung, der vollständigen Mitteilung und dem detaillierten Bericht zu 
unterscheiden. Die initiale Kurzmitteilung ist geboten, da die Meldung „unver- 
züglich“ zu erfolgen hat ($ 109 Abs. 5 S. 1 TKG). Noch ausstehende Informatio- 
nen über die Beeinträchtigung können in einer vollständigen Mitteilung nach- 
gereicht werden. Einen detaillierten Bericht kann die Bundesnetzagentur ver- 
langen, wenn die Auswertung der vollständigen Mitteilung über eine tatsächlich 
eingetretene beträchtliche Sicherheitsverletzung ergibt, dass die Umstände ge- 
nauer untersucht werden müssen (vgl. $ 109 Abs. 5 S. 3 TKG). 

Die initiale Meldung muss dem Wortlaut nach Angaben zu der Störung sowie 
zu den technischen Rahmenbedingungen enthalten. Als Umkehrschluss aus der 
möglichen Berichtspflicht folgt, dass sie nicht umfassend sein muss. Sie wird 
aus Gründen der Dringlichkeit oder des unvollständigen Informationsstands auf 
die bereits vorliegenden Informationen über die Beeinträchtigung beschränkt. 
Der Begriff der Rahmenbedingung besagt, dass diejenigen technischen Bedin- 


227 Bundesnetzagentur, Umsetzung des $ 109 Absatz 5 TKG zur Mitteilung einer Sicher- 


heitsverletzung (Umsetzungskonzept), Abl. [Nr. 2], Stand: 27.07.2016, Version 3.0, S. 7, on- 
line abrufbar. 

228 Siehe § 4 B. 

22 Siehe zu den Durchführungsmaßnahmen § 3 D. I. 2. (3). 

2330 Vgl. ENISA, Technical Guideline on Security measures for Article 4 and Article 13a, 
Version 1.0, 2014, S. 42. 
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gungen anzugeben sind, die zum maßgeblichen Zeitpunkt bestanden und kausal 
für das beeinträchtigende Ereignis sein könnten („Rahmenbedingung‘“‘). Enthal- 
ten muss die Meldung also Informationen über die Randbedingungen, Vorbe- 
dingungen oder Voraussetzungen der Beeinträchtigung. Zu melden sind folglich 
auch die allgemeinen technischen Gegebenheiten des konkreten Gelingens bei 
einem Angriff von außen. In jedem Falle sind die vermutete oder tatsächliche 
Ursache der Störung anzugeben sowie die betroffene Informationstechnik zu 
nennen. Die im Gesetz beschriebenen meldepflichtigen Umstände sind jedoch 
nicht abschließend („insbesondere“). 

Der weiteren Spezifikation der meldepflichtigen Parameter dient das Umset- 
zungskonzept der Bundesnetzagentur, das bei Bedarf angepasst wird und des- 
sen dritte Version 2016 veröffentlich wurde.””' Neben der Meldeschwelle wer- 
den darin der Verfahrensablauf sowie der Inhalt, die Form und die Übermitt- 
lung der Meldung konkretisiert. Die im Umsetzungskonzept aufgeführten 
Kriterien sind angelehnt an die Technischen Richtlinien zur Meldung von Si- 
cherheitsverletzungen der ENISA.” Letztere verstehen sich freilich aber nicht 
als verbindliche Standards, sondern als Darstellung möglicher Meldesysteme 
(„[...] is not intended as guidance, but rather as an illustration of the range of 
different national reporting schemes across the EU [...]*).”°° Auch dem Um- 
setzungskatalog kommt keine unmittelbare rechtliche Qualität zu. Die Tatbe- 
standsvoraussetzungen der Meldepflicht sind unbestimmte Rechtsbegriffe, die 
durch einen Kriterienkatalog nicht in einer rechtlich verbindlichen Weise kon- 
kretisiert werden. Ein Kriterienkatalog kann allenfalls unverbindliche Hinweise 
geben, an die ein Gericht jedoch nicht gebunden wäre. Der Umsetzungskatalog 
entfaltet auch keine Bindung der Bundesnetzagentur. An eine Selbstbindung der 
Verwaltung ist bereits deshalb nicht zu denken, weil die Meldepflicht außerhalb 
der Leistungsverwaltung liegt. Die Norm lässt der Bundesnetzagentur indes ei- 
nen Spielraum, die Meldekategorien und -arten näher zu klassifizieren. 

Die initiale Meldung ist gemäß Umsetzungskatalog der Bundesnetzagentur 
per E-Mail oder Fax mitzuteilen. Sie soll die Kontaktdaten, die ersten Erkennt- 
nisse über Art, Ausmaß und Dauer der Störung sowie erste Einschätzungen der 
Ursachen und Auswirkungen bezüglich der Bewertungskriterien enthalten.?* 


3! Bundesnetzagentur, Umsetzung des $ 109 Absatz 5 TKG zur Mitteilung einer Sicher- 
heitsverletzung (Umsetzungskonzept), Abl. [Nr. 2], Stand: 27.07.2016, Version 3.0, online 
abrufbar. 

2332 Bundesnetzagentur, Umsetzung des $ 109 Absatz 5 TKG zur Mitteilung einer Sicher- 
heitsverletzung (Umsetzungskonzept), Abl. [Nr. 2], Stand: 27.07.2016, Version 3.0, S. 7. 

23 ENISA, Technical Guideline on Incident Reporting, Version 2.1, 2014, S. 7. 

2334 Bundesnetzagentur, Umsetzung des $ 109 Absatz 5 TKG zur Mitteilung einer Sicher- 
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Der Inhalt der vollständigen Mitteilung ergibt sich neben dem Umsetzungs- 
konzept aus dem von den Betreibern und Anbietern zu verwendenden, von der 
Bundesnetzagentur zur Verfügung gestellten Formblatt.” Sie soll grundsätz- 
lich in Textform erfolgen. Zu beschreiben sind insbesondere die Umstandsdaten 
der Beeinträchtigung (betroffener Grundwert der Sicherheit, Zeitpunkt der Ent- 
deckung, geographische Ausprägung usw.) sowie die ggf. betroffene Informati- 
onstechnik. Diesbezüglich sind vor allem die allgemeinen Kategorien informa- 
tionstechnischer Angriffe mitzuteilen (Ausnutzen bestimmter Schwachstellen, 
initialer Angriff bei mehrstufig kombinierten Angriffen, Art des Schadpro- 
gramms, Vorliegen von Hacking, Identitätsmissbrauch, Verhinderung von 
Diensten usw.). Bei einem informationstechnischen Angriff sind ferner die Art, 
die Anzahl und auf freiwilliger Basis die vermutete Motivation anzugeben. Zu 
den nicht freiwilligen Angaben gehört die Nennung der forensischen Daten, die 
dem BSI zur Verfügung gestellt werden können. Anzugeben sind schließlich 
auch ergriffene Abhilfe- und Präventivmaßnahmen. 

Der erforderliche Inhalt des detaillierten Berichts ergibt sich aus dem Umset- 
zungskonzept nicht. Mit Blick auf die Meldungen muss der Bericht jedenfalls 
mehr als nur Metainformationen, die auf äußere Merkmale der Beeinträchti- 
gung verweisen, dokumentieren. Aus dem Sinn und Zweck der Meldepflicht 
folgt, dass die Aussagekraft der Berichte grundsätzlich so groß sein muss, dass 
die Bundenetzagentur die generierten Informationen und das daraus gewonne- 
ne Wissen für die Erstellung des Katalogs an Sicherheitsforderungen für das 
Betreiben von Telekommunikations- und Datenverarbeitungssystemen ($ 109 
Abs. 6 TKG) nutzen kann. Der Katalog ist Grundlage für die Sicherheitskon- 
zepte und für die zu implementierenden Schutzmaßnahmen der Telekommuni- 
kationsunternehmen.??° Der gesetzliche Auftrag zur Erstellung von Sicherheits- 
anforderungen setzt eine entsprechende informationelle Rückkopplung seitens 
der Betreiber und Anbieter voraus. Der Informationswert einer Meldung sollte 
daher so hoch sein, dass Rückschlüsse auf abstrakt-generelle Abhilfemaßnah- 
men gezogen werden können. Auf Grundlage des Berichts sollten Anforderun- 
gen aufgestellt werden können, die eben solche Sicherheitsverletzungen, welche 
die Meldung ausgelöst hat, zukünftig verhindert. 


heitsverletzung (Umsetzungskonzept), Abl. [Nr. 2], Stand: 27.07.2016, Version 3.0, S. 9; vgl. 
auch BT-Drs. 17/5707, S. 83 zu $ 109 Abs. 5 a. F. 

235 Bundesnetzagentur, Mitteilung nach $ 109 Absatz 5 Telekommunikationsgesetz, Form- 
blatt, online abrufbar. 

36 Graulich, in: Arndt/Fetzer/Scherer/ders. (Hrsg.), TKG, 2. Aufl. 2015, § 109 Rn. 49. 
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b) Betreiber wesentlicher Dienste und Kritischer Infrastrukturen 


Die Betreiber wesentlicher Dienste im Sinne von Art. 4 Abs. 4 NIS-RL haben 
den nationalen NIS-Behörden oder den nationalen CSIRTs unverzüglich Sicher- 
heitsvorfälle zu melden. Der Umsetzung dieser Pflicht dient $ 8b Abs. 4 BSIG, 
der eine Meldepflicht für Betreiber kritischer Infrastrukturen regelt. 


aa) Anlass der Meldung 


Das unionsrechtlich meldepflichtige Ereignis ist ein Sicherheitsvorfall, der er- 
hebliche Auswirkungen auf die Verfügbarkeit der von den Betreibern bereitge- 
stellten wesentlichen Dienste hat, Art. 14 Abs. 3 NIS-RL. Die Formulierung des 
Meldetatbestands impliziert, dass es tatsächlich zu einer nachteiligen Auswir- 
kung auf die Netz- und Informationssicherheit gekommen ist. Aus dem, in sys- 
tematischer Hinsicht in den Regelungen für Anbieter digitaler Dienste fehl- 
platzierten Artikel 16 Abs. 5 NIS-RL folgt, dass Anbieter wesentlicher Dienste 
auch dann meldepflichtig sind, wenn der Sicherheitsvorfall durch einen Dritten 
als Anbieter digitaler Dienste, dessen Dienste der Anbieter wesentlicher Diens- 
te in Anspruch nimmt, verursacht wird.” 

Zur kohärenteren Feststellung des Ausmaßes der Auswirkungen eines Sicher- 
heitsvorfalls gibt die NIS-Richtlinie in Art. 14 Abs. 4 drei zu berücksichtigende 
Parameter vor. Zu diesen quantitativen Kriterien gehören die Zahl der von der 
Unterbrechung betroffenen Nutzer, die Dauer des Sicherheitsvorfalls und die 
geografische Ausbreitung in Bezug auf das betroffene Gebiet. Anders als für die 
Sicherheitsvorfalle bei Anbietern digitaler Dienste besteht hier für die Kommis- 
sion nicht die Möglichkeit, die Parameter der Erheblichkeitsschwelle mittels 
Durchführungsrechtsakten zu spezifizieren. Die im Rahmen der europäischen 
NIS-Kooperationsgruppe zusammenarbeitenden nationalen NIS-Behörden?”* 
können jedoch nach Art. 14 Abs. 7 NIS-RL Leitlinien ausarbeiten und anneh- 
men, um die Umstände des meldepflichtigen Ereignisses und die Parameter zur 
Feststellung des Ausmaßes näher zu bestimmen. Leitlinien sind unionsrechtlich 
als Handlungsform für die Unionsorgane sowie die Festlegung der Unionspolitik 
oder Koordinierung der Politik der Mitgliedstaaten ausdrücklich vorgesehen.” 
Sie sind jedoch ihrer Natur nach grundsätzlich nicht verbindlich. In dem Katalog 
der Rechtsakte ist Art. 288 AEUV nicht genannt. Eine gewisse Verbindlichkeit 
kann Leitlinien jedoch zukommen, wenn sich dies dem Primär- oder Sekundär- 


37 Vgl. Erwägungsgrund 52 NIS-RL. 
238 Siehe § 4B. II. 1. a). 
239 26 Abs. 1 EUV, Art. 148 Abs. 2, Art. 171 Abs. 1 AEUV. 
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recht entnehmen lässt.” Im Sekundärrecht findet sich dann etwa der Imperativ 
der „weitestgehenden“ Berücksichtigung der Leitlinien, teilweise mit Regelung 
einer Sanktionsfolge.™! Aus den Leitlinien der NIS-Behörden im Sinne von 
Art. 14 Abs. 7 NIS-RL dürfte sich allenfalls ein schwach ausgeprägter Verbind- 
lichkeitsgrad ergeben. Die Leitlinien-Kompetenz wird gerade keinem Unions- 
organ zugewiesen. Eine Indikation der Verbindlichkeit gibt die Norm dem Ad- 
ressaten nicht. Da die Leitlinien durch diejenigen Behörden angenommen wer- 
den, die sie auch anwenden, kommt den Leitlinien eine Verbindlichkeit im Sinne 
einer nicht sanktionsbewehrten Beachtungs- bzw. Berücksichtigungspflicht mit 
dem Zweck des einheitlichen Melde- und Verwaltungsvollzugs zu. 

Nach der deutschen Umsetzung der Meldepflicht in § 8b Abs. 4 S.1 BSIG 
müssen die Betreiber kritischer Infrastrukturen über eine Kontaktstelle dem 
BSI „erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Ver- 
traulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozes- 
se, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der 
von ihnen betriebenen Kritischen Infrastrukturen 1. führen können oder 2. ge- 
führt haben“, gemeldet werden. Gemessen an der NIS-Richtlinie ist die deut- 
sche Umsetzung der Meldepflicht strenger. Zur Voraussetzung der Meldepflicht 
gehört es gerade nicht, dass ein Sicherheitsvorfall Auswirkungen hat. Es genügt 
eine potenziell erhebliche Auswirkung oder Beeinträchtigung. Außerdem ist 
Bezugspunkt der Meldung eine Störung nicht nur der Verfügbarkeit, sondern 
auch der übrigen Schutzziele der Netz- und Informationssicherheit. Da die 
NIS-Richtlinie nach Art. 4 keine Voll-, sondern eine Mindestharmonisierung 
bezweckt, können die Mitgliedstaaten strengere Bestimmungen, mit denen ein 
höheres Sicherheitsniveau erreicht werden soll, erlassen oder aufrechterhalten. 

Für die weitere Bestimmung der Merkmale des Meldetatbestandes kann auf- 
grund der terminologischen Unterschiede zu $ 109 Abs. 5 TKG nicht von vorne- 
herein auf die telekommunikationsrechtliche Meldepflicht verwiesen werden. 
Während Betreiber kritischer Infrastrukturen „erhebliche Störungen“ zu mel- 
den haben, „die zu einem Ausfall oder einer Beeinträchtigung‘ führen können, 
haben Telekommunikationsnetzbetreiber oder -diensteanbieter „Beeinträchti- 
gungen“ zu melden, „die zu beträchtlichen Sicherheitsverletzungen“ führen 
können und bestimmte „Störungen“ einschließen können. 

Die Nichtkongruenz der Meldetatbestände wirkt sich aber nicht am zentralen 
Begriff der Störung aus, sondern eher auf die Folge der Störung. Der Störungs- 
begriff wird im BSIG nicht näher bestimmt. Der Gesetzgeber geht jedoch davon 


24 Ehlers, in: Erichsen/Ehlers (Hrsg.), Allgemeines Verwaltungsrecht, 14. Aufl. 2010, § 5 
II 5, Rn. 27. 

241 Zwei Beispiele bei Rademacher, Realakte im Rechtsschutzsystem der Europäischen 
Union, 2014, S. 127 f. 
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aus, dass Störung entsprechend dem telekommunikationsrechtlichen Verständ- 
nis und der Rechtsprechung zu $ 100 Abs. 1 TKG funktional und insofern weit 
verstanden werden kann.”* Für eine Störung kommt es daher auch im Rahmen 
von $ 8b BSIG darauf an, ob die eingesetzte Technik die ihr zugedachte Funk- 
tion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder ob ver- 
sucht wurde, entsprechend auf sie einzuwirken.”* Störung ist demnach mehr als 
nur die physikalische Beeinträchtigung technischer Einrichtungen und umfasst 
Fälle von Sicherheitslücken, Schadprogrammen und erfolgten oder versuchten 
oder erfolgreich abgewehrten Angriffen auf die Sicherheit in der Informations- 
technik.” 

Fraglich ist, wie das Merkmal der Erheblichkeit der Störung zu verstehen ist. 
Die Formulierung und der Relativsatz („erhebliche Störung [...], die [...]“) deu- 
ten darauf hin, dass die Meldeschwelle am Grad der Störung zu messen ist und 
nicht auf den Grad der Beeinträchtigung der Funktionsfähigkeit einer kritischen 
Infrastruktur bezogen ist. Würde die Erheblichkeit am Grad der Störung gemes- 
sen, läge darin eine Abweichung von Art. 14 Abs. 4 NIS-RL, der ausdrücklich 
an die Erheblichkeit der Auswirkung des Vorfalls anknüpft. Ganz im unions- 
rechtlichen Sinne sieht der Gesetzgeber selbst eine erhebliche Störung dann als 
gegeben, wenn die Funktionsfähigkeit der erbrachten kritischen Dienstleistung 
bedroht ist.” 

Gleichwohl lässt die Vorschrift wegen des unmittelbaren Zusammenhangs 
der Erheblichkeit zur Störung auch eine weitere Lesart zu. 

Bei der Bestimmung der Erheblichkeit einer Störung könnte auch der durch 
eine Meldung generierte Erkenntnisgewinn berücksichtigt werden. Sofern der 
Gesetzgeber daran anknüpft, ob ein IT-Vorfall neuartig oder außergewöhnlich 
ist und nicht bereits automatisiert oder mit wenig Aufwand mit Hilfe der Maß- 
nahmen, die dem „Stand der Technik“ entsprechen sollen, abgewehrt werden 
können,” entspricht dieses Verständnis sogar der Regelungsintention. Nicht 
meldepflichtig sind dann alltägliche Vorfälle, die durch Spam, gewöhnliche 
Schadsoftware und typische Hardwareausfälle verursacht werden.?”’ Erheblich 
sind nach diesem Verständnis Störungen, wenn sie durch Angriffe mit neuarti- 
gen Modi operandi verursacht wurden oder wenn sie unerwartete Vorkommnis- 
se darstellen. Insbesondere sind dies fortgeschrittene und andauernde Cyberbe- 
drohungen, d.h. komplexe, zielgerichtete und effektive Angriffe (sog. Advanced 


242 BT-Drs. 18/4096, S. 27; vgl. Moos, MMR 2015, 636 (639). 
28 BGH, NJW 2014, 2500 (2501). 
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Persistent Threats, APTs).”*° Für die Bestimmung der Erheblichkeit kann in 
diesem Sinne auch der Ressourcenaufwand als tauglicher Indikator herangezo- 
gen werden. Meldepflichtig sind demnach nur solche Angriffe, die nur mit er- 
höhtem Ressourcenaufwand, d.h. mit erhöhtem Koordinationsaufwand, durch 
Hinzuziehen von Experten, Nutzung einer besonderen Aufbauorganisation 
oder Einberufung eines Krisenstabs usw., abgewehrt oder in ihren Folgen neu- 
tralisiert werden können. 

Gegen das Verständnis der Erheblichkeit, das auf den möglichen Neuigkeits- 
wert einer Meldung abstellt, kann eingewandt werden, dass dann „einfache“ 
Störungen, die zu fatalen Betriebsbeeinträchtigungen führen können, nicht mel- 
depflichtig wären. Für eine insofern restriktivere Auslegung spricht, dass eine 
Vielzahl ausgelöster Meldungen sowohl die Unternehmen als auch die Behör- 
den als Adressaten der Meldung überfordern könnte, sofern die Meldungen zu- 
sätzlich manuell bearbeitet werden müssen. 

Vorzugswürdig ist schließlich jedoch ein Verständnis von Erheblichkeit, dass 
sowohl dem unionsrechtlichen Verständnis entspricht als auch den Bedarf der In- 
formations- und Wissensgenerierung berücksichtigt. Die Erheblichkeit ist dem- 
nach mit Blick auf die Auswirkung eines Vorfalls, d.h. die Funktionsbeeinträchti- 
gung, auszulegen. Hierbei sind die von Art. 14 Abs. 4 NIS-RL grob vorgegebenen 
Parameter und die nach Art. 14 Abs. 7 NIS-RL angenommenen Leitlinien heran- 
zuziehen. Zusätzlich kann der Neuigkeitswert der Meldeinformationen berück- 
sichtigt werden, indem die Erheblichkeit auch nach den Ursachen der Störung be- 
urteilt wird. Überzogene Anforderungen dürfen hier aber an die Erheblichkeit 
nicht gestellt werden, da ein umfänglich die Risiken abbildendes Lagebild alle 
Störungen, die erhebliche Auswirkungen haben können, erfassen sollte. 

Sofern die erhebliche Störung nur möglicherweise zu einem Ausfall oder ei- 
ner Beeinträchtigung führt, obliegt die Entscheidung, ob eine Meldepflicht be- 
steht, den Infrastrukturbetreibern. Sie haben insofern eine eigene Prognose zu 
stellen. Da dem Wortlaut nach bereits die entfernte Möglichkeit einer Beein- 
trächtigung genügt, um die Meldepflicht auszulösen, bietet sich für die Progno- 
se die Anwendung einer „je-desto“-Formel an: Je schwerwiegender die durch 
die Beeinträchtigung verursachten Schäden sein können, desto geringer sind die 
Anforderungen an die Wahrscheinlichkeit der Beeinträchtigung. 


bb) Inhalt der Meldung 


Die zu meldenden Angaben werden durch $ 8b Abs. 4 S.2 BSIG gesetzlich ab- 
strakt bestimmt. Notwendig sind vier Angaben. Die Meldungen müssen Anga- 
ben zur Störung, zu den technischen Rahmenbedingungen, insbesondere der 
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vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, 
der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betrei- 
bers enthalten. Die zu meldenden Informationen sind nicht abschließend ge- 
nannt („insbesondere“). Eine Befugnis entsprechend $ 4 Abs. 6 BSIG zur weite- 
ren Konkretisierung durch Verwaltungsvorschrift oder entsprechend $ 10 BSIG 
zur weiteren Bestimmung durch Rechtsverordnung sieht $ 8b BSIG nicht vor. 
Insofern kann das BSI keine verbindliche, gesetzesausfüllende Regelung tref- 
fen. Die Gesetzesbegründung gibt an, dass das BSI unter Einbeziehung der Be- 
treiber kritischer Infrastrukturen und der ansonsten zuständigen Aufsichtsbe- 
hörden Kriterien für meldungsrelevante Sicherheitsvorfälle aufstellt und ent- 
sprechend der jeweils aktuellen Sicherheitslage weiterentwickelt.” Solche 
Spezifizierungen für die meldepflichtigen Unternehmen sind zwar ebenfalls 
nicht verbindlich, zumal es sich bei den Tatbestandsvoraussetzungen — wie bei 
der telekommunikationsrechtlichen Meldepflicht - grundsätzlich um gerichtlich 
überprüfbare unbestimmte Rechtsbegriffe handelt.”°° Allerdings kann das Un- 
terlassen einer nach der Konkretisierung nicht zu meldenden Information auch 
nicht sanktioniert werden. 

Die maßgeblichen Kriterien für eine Präzisierung des Meldeinhalts sind am 
Zweck der Meldepflicht auszurichten. Dieser wird zunächst durch die organisati- 
onsrechtlichen Aufgabenbestimmungen des BSI vorgegeben. Nach $ 8b Abs. 1 
und 2 BSIG ist das BSI die zentrale Meldestelle, die die für die Abwehr von Ge- 
fahren für die Sicherheit in der Informationstechnik wesentlichen Informationen 
sammelt und auswertet, insbesondere mit Blick auf die Auswirkungen auf die 
Verfügbarkeit von kritischen Infrastrukturen analysiert und die das Lagebild über 
die Sicherheit kritischer Infrastrukturen kontinuierlich aktualisiert (vgl. auch $ 3 
Abs. 1S.2 Nr. 2 BSIG). Die Meldungen dienen demnach nicht dazu, der Melde- 
behörde lediglich die nachträgliche Kontrolle der implementierten technisch- 
organisatorischen Sicherheitsmaßnahmen zu ermöglichen. Dies ergibt sich au- 
Berdem aus der Differenzierung der Pflicht zur Nennung des Betreibers in der 
Meldung. Im Falle einer nur möglichen Beeinträchtigung durch die Störung kann 
die Meldung auch ohne Nennung des betroffenen Betreibers erfolgen. Nur bei 
einer tatsächlich eingetretenen Beeinträchtigung ist nach $ 8b Abs. 4 BSIG eine 
pseudonyme Meldung nicht möglich.?°! Die Meldungen sollen dem BSI auch im 
Vorfeld konkreter Schadenseintritte ermöglichen, eine „möglichst umfassende 
und frühzeitige Warnung möglicherweise ebenfalls betroffener Betreiber Kriti- 
scher Infrastrukturen zu gewährleisten‘“.?°? Die Meldungen sollen dazu beitragen, 
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die „Cyberbedrohungslage“ zu erfassen und „fundierte Aussagen zur IT-Sicher- 
heitslage“ zu treffen.” Mit Blick auf die Informationsgenerierung erscheint ein 
detaillierter Meldekatalog nicht schon deshalb unverhältnismäßig, weil mit ihm 
eingriffsintensiver Aufwand für die Unternehmen verbunden ist.?°* Ein Großteil 
des Aufwandes zur Umsetzung der Meldepflicht würde bereits bei der Meldung 
des bloßen Umstandes eines Sicherheitsvorfalles entstehen. 

Soweit die Betreiber bei der Meldung nur möglicher Beeinträchtigungen eine 
Prognose der Ausfall- und Beeinträchtigungswahrscheinlichkeit stellen, ent- 
spricht es dem Zweck der Meldung, auch andere Betreiber über Sicherheits- 
vorfälle zu informieren, sodass die meldepflichtigen Betreiber auch berücksich- 
tigen, inwiefern auch andere Betreiber kritischer Infrastrukturen derselben 
Branche betroffen sein könnten. Dafür sprechen nicht zuletzt mögliche Interde- 
pendenzen und die mit einer Beeinträchtigung einhergehenden Kaskadeneffek- 
te.” Die Betreiber könnten sich hier jedoch auf den Wortlaut von § 8b Abs. 4 
S. 1 BSIG stützen, der auf die Funktionsfähigkeit „der von ihnen betriebenen“ 
kritischen Infrastrukturen abstellt und insofern keine Informationen über die 
Betroffenheit anderer Infrastrukturen erfordert. Allerdings ist unionsrechtlich 
erforderlich, dass die nationale NIS-Behörde in die Lage versetzt werden, die 
grenzüberschreitenden Auswirkungen eines Sicherheitsvorfalles zu bestimmen 
(Art. 14 Abs. 3 NIS-RL), um die Behörde in einem anderen Mitgliedstaat in- 
formieren zu können. Die Unternehmen müssten demnach verpflichtet werden, 
auch hinsichtlich des etwaigen grenzüberschreitenden Charakters des IT-Si- 
cherheitsvorfalls eine Einschätzung zu melden. 

Das vom BSI entwickelte Musterformular erfordert neben allgemeinen In- 
formationen auch die Beschreibung der IT-Störung und der vermuteten Ursa- 
chen.’ Im Wesentlichen sind dabei die einschlägigen Werte bei möglicher 
Mehrfachnennung anzukreuzen. Insgesamt fordert das BSI keine Beschreibung 
des Sicherheitsvorfalls unter Angabe aller verfügbarer Informationen, sondern 
nur eine Umschreibung. So ist etwa auch die Angabe sonstiger Informationen 
wie der CVE-Nummer, einem Industriestandard für die Bezeichnung und Kate- 
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gorisierung bekannter Sicherheitslücken,”°”’ den Betreibern anheimgestellt.”°® 
Das Muster sieht dagegen die Angabe der im Rahmen der bis zur Meldung 
durchgeführten Analyse der IT-Störung angefallenen Daten mit Blick auf eine 
etwaige nachträgliche Zurverfügungstellung vor. Insofern soll die Meldung 
dem BSI erlauben, die Relevanz für weitergehende Auskunftsanordnungen zu 
prüfen. Die Angabe aller dem Betreiber vorliegenden Informationen im Rah- 
men der Meldung dürfte aber wohl auf Grundlage von $ 8b Abs. 4 BSIG nicht 
verlangt werden können, da in technischer Hinsicht nur die „Rahmenbedingun- 
gen“ zu nennen sind. Insofern besteht zur telekommunikationsrechtlichen 
Meldepflicht kein wesentlicher Unterschied. 

Ein Unterschied besteht vor dem Hintergrund der Eilbedürftigkeit auch nicht 
in der Frage einer gestuften Meldung. Um möglichst schnell in Krisensituatio- 
nen zu reagieren und andere potenziell betroffene Kreise vor vergleichbaren 
Vorfällen zu warnen, ist eine schnellstmögliche Meldung ohne weiteren Re- 
chercheaufwand ausreichend. Der Nachtrag zur initialen Meldung muss dann 
erschöpfend die Informationen enthalten, mit denen das BSI aus den Meldungen 
weitere Handlungen ableiten kann. 

Aus der datenschutzrechtlichen Regelung in $ 8b Abs. 7 BSIG ergibt sich, 
dass eine Meldung auch personenbezogene Daten enthalten kann.” Durch den 
Verweis auf § 5 Abs. 7 S. 3 bis 8 BSIG, der die Analyse von Daten im Rahmen 
der Sicherheitsgewährleistung der Kommunikationstechnik des Bundes be- 
trifft, scheint der Gesetzgeber sogar davon auszugehen, dass Erkenntnisse aus 
dem Kernbereich privater Lebensgestaltung oder besonders sensible Daten er- 
langt werden können. Solche Erkenntnisse dürfen jedoch nicht verwendet wer- 
den und sind unverzüglich zu löschen. 


c) Anbieter digitaler Dienste 


Anbieter digitaler Dienste haben nach Art. 16 Abs. 3 NIS-RL Sicherheitsvor- 
fälle an die zuständigen NIS-Behörden unverzüglich zu melden. Soweit die er- 
fassten digitalen Dienste als Telemedien einzustufen sind, besteht de lege lata 
Umsetzungsbedarf für den Gesetzgeber, da im TMG keine Meldepflicht statu- 
iert ist. 


257 Common Vulnerabilities and Exposures (CVE), dazu Mitre Corporation, abrufbar un- 
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aa) Anlass der Meldung 


Während die Meldepflicht für die Betreiber wesentlicher Dienste an die Aus- 
wirkungen für die Verfügbarkeit der wesentlichen Dienste anknüpft, sind die 
Auswirkungen bei den digitalen Diensten nach Art. 16 Abs. 3 NIS-RL an deren 
„Bereitstellung“ (engl. provision) zu messen. Die Bereitstellung bezieht sich 
dem Wortlaut nach zwar auch auf den Betrieb und damit auf die Verfügbarkeit 
des Dienstes. Die Verwendung verschiedener Begriffe für die Meldepflicht deu- 
tet jedoch auf eine unterschiedliche Bedeutung der Tatbestandsmerkmale hin. 
In systematischer Hinsicht ergibt sich dies auch aus Art. 16 Abs. 2 NIS-RL, der 
die Mitgliedstaaten dazu verpflichtet, sicherzustellen, dass die Anbieter digita- 
ler Dienste Maßnahmen treffen, „damit die Verfügbarkeit [engl. continuity] die- 
ser Dienste gewährleistet wird.“ Erwägungsgrund 48 der NIS-Richtlinie weist 
darauf hin, dass „die Sicherheit, Verfügbarkeit und die Verlässlichkeit der [...] 
digitalen Dienst[e]“ für das Funktionieren vieler Unternehmen von wesentlicher 
Bedeutung sei. Diese Erwägung deutet auf ein weites Verständnis von Bereit- 
stellung in dem Sinne hin, dass sich die Bereitstellung nicht auf das Schutzziel 
der Verfügbarkeit beschränkt, sondern darüber hinaus auch Schutzziele wie die 
Integrität und Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter 
Daten oder entsprechender Dienste umfasst (vgl. Art. 4 Nr. 2 NIS-RL). 

Die Meldeschwelle ist im Vergleich zur Meldepflicht von Betreibern wesent- 
licher Dienste darüber hinaus in zwei Punkten modifiziert. Bei der Feststellung, 
ob die Auswirkungen eines Sicherheitsvorfalles erheblich sind, werden zusätz- 
liche Parameter berücksichtigt. So sind die Zahl der betroffenen Nutzer, die 
Dauer des Sicherheitsvorfalls, das Ausmaß der Unterbrechung der Bereitstel- 
lung des Dienstes sowie das Ausmaß der Auswirkungen auf wirtschaftliche und 
gesellschaftliche Tätigkeiten zu berücksichtigen (Art. 16 Abs. 4 NIS-RL). 

Eingeschränkt wird die Meldepflicht dadurch, dass sie nur greift, wenn der 
Anbieter Zugang zu den Informationen hat, die benötigt werden, um die Auswir- 
kungen eines Sicherheitsvorfalls zu bewerten. Diese Regel hat zwei informations- 
rechtliche Implikationen. Zum einen spricht sie dafür, dass die Anbieter nicht 
schon aus der Meldepflicht heraus verpflichtet sind, alle oder bestimmte Aktio- 
nen in ihren Computersystemen und Netzwerken zu Analysezwecken zu proto- 
kollieren. Zum anderen wird damit die Effektivität der Informationsgenerierung 
abgeschwächt. Die Anbieter digitaler Dienste haben es ein Stück weit selbst in 
der Hand, die Meldepflicht zu aktivieren. So könnte etwa aus Kostengründen die 
grundsätzlich bestehende Pflicht umgangen werden, indem Unternehmen ver- 
hindern, Daten für die Bewertung von Sicherheitsvorfällen zu erheben. 
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bb) Konkretisierung durch Durchführungsakte der Kommission 


Anders als bei den Meldungen der Infrastrukturbetreiber hat die Kommission 
die aufgrund von Art. 291 Abs.2 AEUV und der NIS-RL als Basisrechtsakt 
eingeräumte Möglichkeit, eine Feinsteuerung der Notifizierungspflicht vorzu- 
nehmen und unionsweit zu vereinheitlichen. Art. 16 Abs. 8 und 9 NIS-RL geben 
der Kommission die Kompetenz, Durchführungsakte zu erlassen, um zum ei- 
nen die Parameter zur Bestimmung der Erheblichkeit eines Sicherheitsvorfalls 
und zum anderen die Form und das Verfahren, welche für Meldepflichten gel- 
ten, festzulegen. 

Abweichend von der Regelvollzugszuständigkeit der Mitgliedstaaten können 
Sekundärrechtsakte gemäß Art. 291 Abs. 2 AEUV Befugnisse zur Durchfüh- 
rung an die Kommission übertragen. Durchführung im Sinne von Art. 291 
AEUV meint den Erlass detaillierter Regelungen, die die Anwendung des Uni- 
onsrechts erleichtern, indem sie die darin gemachten Vorgaben konkretisie- 
ren.?°° Von der Durchführung nicht umfasst ist der Erlass normativer Akte zur 
Ergänzung oder Änderung nicht wesentlicher Vorschriften eines Gesetzge- 
bungsakts. Diese Befugnis unterfällt der Delegation nach Art. 290 ABUV.*! 

Durchführungsakte der Kommission können neben individuell-konkreten 
Rechtsakten auch solche mit allgemeiner Geltung umfassen. Dies ergibt sich 
aus Art. 267 und 277 AEUV, bei denen es um die Auslegung und Geltung von 
„Rechtsakten allgemeiner Geltung“ eines Organs, einer Einrichtung oder einer 
sonstigen Stelle der Union geht. Wenn mit „Einrichtungen“ auch Agenturen ge- 
meint sind, gilt dies erst recht für die Kommission bei der Durchführung von 
Unionsrecht.?% In diesem Sinne sah auch der Entwurf einer neuen Interinstitu- 
tionellen Vereinbarung zur besseren Rechtsetzung vor, dass eine allgemeine 
„Maßnahme, die sich auf Vorkehrungen für die Bereitstellung von Informatio- 
nen“ bezieht, in der Regel als Durchführungsrechtsakt der Kommission erlas- 
sen werden soll, da eine solche Vorgabe „im Allgemeinen keine Ergänzung der 
Verpflichtung zur Bereitstellung von Informationen [darstellt], sondern [...] 
vielmehr eine einheitliche Durchführung ermöglicht.“ Allgemeine Durch- 
führungsakte nach Art. 16 Abs. 9 NIS-RL in Verbindung mit Art. 291 Abs. 2 
AEUV sollen damit technische Details vorgeben, die die weitere Durchführung 
leiten. Konkretisiert werden können also etwa die Bemessungsmaßstäbe der Er- 
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heblichkeit eines Sicherheitsvorfalles, das Format oder das anzuwendende Mel- 
deverfahren. Wesentliche Ergänzungen oder Änderungen dürfen nicht über die 
Durchführungsakte geregelt werden. 

Die allgemeinen Regeln und Grundsätze, nach denen die Mitgliedstaaten die 
Wahrnehmung der Durchführungsbefugnisse durch die Kommission kontrol- 
lieren, werden gemäß Art. 291 Abs. 3 AEUV durch Verordnung im Voraus fest- 
gelegt. Die Verordnung (EU) Nr. 182/2011 (Komitologie-VO) stellt diese Regeln 
auf und bestimmt, wie Detailentscheidungen in Ausschüssen der EU-Mitglied- 
staaten unter Vorsitz der Kommission getroffen werden. Für die mitgliedstaatli- 
che Kontrolle durch die Mitgliedstaaten der Wahrnehmung der Durchführungs- 
befugnisse durch die Kommission enthält die Komitologie-VO zwei Verfahren, 
das Beratungsverfahren (advisory procedure), Art.4, und das Prüfverfahren 
(examination procedure), Art.5 Komitologie-VO. Im regulären Beratungsver- 
fahren gibt der Ausschuss eine Stellungnahme mit einfacher Mehrheit seiner 
Mitglieder ab. Die Kommission kann die Stellungnahme berücksichtigen, ist 
aber in keiner Weise an sie gebunden. Im strengeren Prüfverfahren kann sich 
die Kommission grundsätzlich nicht über eine Ablehnung des Ausschusses mit 
qualifizierter Mehrheit hinwegsetzen. Welches der beiden Verfahren angewen- 
det wird, soll im Basisrechtsakt festgelegt werden. 

Die Durchführungsrechtsakte werden gemäß Art. 16 Abs. 8 und 9 in Verbin- 
dung mit Art. 22 Abs. 2 NIS-RL im Prüfverfahren erlassen. Die Kommission 
wird gemäß Art. 22 Abs. 1 NIS-RL von dem Ausschuss für die Sicherheit von 
Netz- und Informationssystemen unterstützt. 

Die Wahl des Prüfverfahrens indiziert, dass es sich beim Erlass den konkre- 
tisierenden Rechtsakte um solche von allgemeiner Tragweite mit potenziell be- 
deutenden Auswirkungen handeln kann.?°* Im Ergebnis ist damit bei der Aus- 
gestaltung der Meldepflicht zwar die Erfüllung des europäischen Informations- 
interesses von ausschlaggebender Bedeutung. Der Einfluss der Mitgliedstaaten 
ist aber durch ihre Repräsentation im Ausschuss für die Sicherheit von Netz- 
und Informationssystemen und den Entscheidungsmodus im Prüfverfahren ge- 
sichert. 


cc) Inhalt der Meldung 


Zum Inhalt der Meldung macht Art. 16 NIS-RL kaum Vorgaben. Nach Art. 16 
Abs. 1 S.2 NIS-RL müssen die Meldungen lediglich Informationen enthalten, 
die es der zuständigen Behörde oder dem CSIRT ermöglichen, das Ausmaß et- 
waiger grenzübergreifender Auswirkungen des Sicherheitsvorfalls festzustel- 
len. Näher bestimmt wird der Inhalt auch nicht durch die Durchführungsakte 
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der Kommission, da diese neben der Meldeschwelle nur die Form und das Ver- 
fahren der Meldung betreffen. 

Aus dem Sinn und Zweck der Meldepflicht ergibt sich aber auch hier, dass 
sich der Inhalt nicht auf die Meldung des Umstands eines Sicherheitsvorfalls als 
solchen beschränken kann. Die Meldung der Tatsache, dass es zu einem Vorfall 
gekommen ist, würde zudem kaum als „Nachweis“ (engl. evidence) im Sinne 
des Art. 17 Abs. 1 NIS-RL genügen, um die NIS-Behörden zur nachträglichen 
Überprüfung der implementierten Sicherheitsmaßnahmen zu veranlassen. Die 
Meldung lediglich des Sicherheitsvorfalls würde nur dann einen nachvollzieh- 
baren Zweck erfüllen, wenn für die Ex-post-Überwachungsmaßnahmen bereits 
Anhaltspunkte dafür, dass der Anbieter die Sicherheitsanforderungen nicht ein- 
hält, ausreichten, da der gemeldete Vorfall ein Hinweis auf ein ungenügendes 
Risikomanagement bei dem Anbieter sein kann. 

Da die NIS-Behörde ggf. bei Betroffenheit von zwei oder mehr Mitgliedstaa- 
ten deren NIS-Behörden unterrichtet, werden zu dem wesentlichen Meldeinhalt 
auch Informationen über die im Einzelnen betroffenen Mitgliedstaaten zu rech- 
nen sein. Außerdem dürfte zum Mindestgehalt der Meldung die Angabe derje- 
nigen Informationen gehören, aus denen sich die Erheblichkeit des Sicherheits- 
vorfalls ergibt, denn Art. 16 Abs. 4 S.2 NIS-RL knüpft die Meldepflicht daran, 
dass der Anbieter auch Zugang zu diesen Informationen hat. 

Die Mitgliedstaaten sind im Übrigen weitgehend frei darin, den Meldeinhalt 
zu konkretisieren. Unterschiedliche und strengere Anforderungen an die Mel- 
dungen in den Mitgliedstaaten sind auch nicht durch Art. 16 Abs. 10 NIS-RL 
ausgeschlossen, da diese Regelung den Mitgliedstaaten nur untersagt, den An- 
bietern digitaler Dienste keine weiteren Sicherheits- oder Meldepflichten aufzu- 
legen. 


d) Meldung auf freiwilliger Basis 


Meldungen müssen nicht notwendig auf Rechtspflichten beruhen. Informatio- 
nen über Sicherheitsvorfälle können auch auf Basis freiwilliger Meldungen ge- 
neriert werden. 

Freiwillige Meldungen kommen insbesondere für diejenigen Unternehmen in 
Betracht, die nicht in den Anwendungsbereich der NIS-Richtlinie fallen, d.h. 
vor allem Kleinst- sowie kleine und mittlere Unternehmen im Sinne der Emp- 
fehlung 2003/361/EG. Diese sind unter dem Gesichtspunkt der Verhältnismä- 
Bigkeit nicht von den technisch-organisatorischen Sicherheitsanforderungen 
und den Meldepflichten betroffen. Die NIS-Richtlinie geht davon aus, dass eine 
Meldung aufgrund der autonomen Entscheidung des Unternehmens möglich 
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sein soll, wenn es im öffentlichen Interesse ist, dass der Auftritt eines Sicher- 
heitsvorfalls gemeldet wird.?% 

Ein eigenständiges Meldeverfahren besteht für freiwillige Meldungen nicht. 
Art. 20 Abs. 1 NIS-RL trifft jedoch eine Regelung für die freiwillige Meldung 
solcher Sicherheitsvorfälle, die erhebliche Auswirkungen auf die Verfügbarkeit 
von vom meldenden Unternehmen angebotenen Dienste haben. Melden die Un- 
ternehmen, die nicht vom persönlichen Anwendungsbereich der NIS-Richtlinie 
erfasst sind, einen solchen Sicherheitsvorfall freiwillig, findet das für die Betrei- 
ber wesentlicher Dienste vorgesehene Meldeverfahren Anwendung (Art. 20 
Abs. 2 NIS-RL). Auf die Leitlinien der Kooperationsgruppe kommt es insofern 
nicht an, weil diese die Umstände näher bestimmen, unter denen Sicherheitsvor- 
fälle gemeldet werden müssen. 

Der spezifische Anreiz, der von der Möglichkeit derartiger Meldungen aus- 
geht, dürfte weniger altruistisch sein. Die von dem Sicherheitsvorfall betroffenen 
Unternehmen haben ein rechtlich schützenswertes Interesse daran, den Schaden 
zu begrenzen, der durch den Sicherheitsvorfall bei Dritten entstehen kann. Ein 
Unternehmen, dass von einem vorsätzlichen Cyberangriff betroffen ist, trifft 
zwar grundsätzlich kein Mitverschulden. Es gilt der Grundsatz, dass ein fahr- 
lässiges Mitverschulden des Geschädigten bei Vorsatz des Angreifers regelmä- 
Big zurücktritt.?° Ein zivilrechtliches Mitverschulden gemäß $ 254 Abs. 2 S. 1 
BGB nach einem erfolgten Cyberangriff wäre aber denkbar, wenn das angegrif- 
fene Unternehmen nach dem Angriff keine schadensmindernden Maßnahmen 
vornimmt und sich der Schaden weiter ausweitet.?°’ Die Anreizwirkung wird 
prinzipiell verstärkt durch die unionsrechtliche Vorgabe in Art.20 Abs.2 
UAbs. 2 NIS-RL, nach der die freiwillige Meldung keine Haftungsfolge nach 
sich ziehen darf, die das Unternehmen ohne die Meldung nicht hätte. 

Inwiefern ein Schaden durch die freiwillige Meldung verhindert oder be- 
grenzt werden kann, ist davon abhängig, wie zügig die Meldung bearbeitet 
wird. Aus Art.20 Abs.2 S.2 NIS-RL folgt, dass Pflichtmeldungen vorrangig 
von der NIS-Behörde oder dem CSIRT bearbeitet werden können. Im Übrigen 
besteht der Anspruch auf Bearbeitung der Meldung auch nur, wenn sie für den 
Adressaten keinen unverhältnismäßigen oder unzumutbaren Aufwand darstellt 
(Art. 20 Abs. 2 S. 3 NIS-RL). 

Dass die Meldungen von den zuständigen Behörden nicht prioritär zu verarbei- 
ten sind, hat zwar keine unmittelbaren Auswirkungen für die Wissensproduktion 
auf administrativer Seite. Relevant mit Bezug auf die informationsverwaltungs- 
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rechtliche Effektivität freiwilliger Meldungen ist jedoch, dass die Anwendung des 
Meldeverfahrens nur bei Sicherheitsvorfällen greift, die erhebliche Auswirkun- 
gen auf die „Verfügbarkeit“ der von den Unternehmen angebotenen Dienste ha- 
ben. Für Angriffe auf die Authentizität, die Integrität oder die Vertraulichkeit 
entsprechender Dienste, also auf grundsätzlich von der NIS-Richtlinie umfassten 
Schutzzielen (Art. 4 Nr. 2NIS-RL), gilt demnach das Melderegime für freiwillige 
Meldungen nicht. Daraus folgt noch nicht, dass eine Generierung freiwillig ge- 
meldeter Informationen für andere Angriffsklassen nicht erfolgt. Die rechtliche 
Anreizwirkung wird durch die Begrenzung allerdings geschwächt. 


3. Meldepflicht bei Datenschutzverletzungen 


Betrifft eine Sicherheitsverletzung zugleich die Sicherheit personenbezogener 
Daten, sind unter bestimmten Voraussetzungen sowohl die Aufsichtsbehörden 
als auch die Betroffenen über Verletzungen zu informieren. Ist die Aufsichts- 
behörde zu informieren, handelt es sich um Meldepflichten. Davon abzugrenzen 
sind die Benachrichtigungspflichten, aufgrund derer die Betroffenen selbst 
durch den datenschutzrechtlich Verantwortlichen zu benachrichtigen sind.?°® 
Zu unterscheiden sind die Meldepflichten auf Grundlage des allgemeinen Da- 
tenschutzrechts, das auch für Anbieter von Telemediendiensten Anwendung 
findet (a), von denen im Telekommunikationsrecht (b). 


a) Meldepflicht im allgemeinen Datenschutzrecht 


Alle datenverarbeitenden Stellen trifft nach $42a BDSG eine Benachrichti- 
gungspflicht im Falle einer bestimmten Verletzung des Schutzes personenbezo- 
gener Daten. Für Anbieter von Telemediendiensten gilt $ 42a BDSG über den 
Rechtsfolgenverweis in § 15a TMG entsprechend. Eine europarechtliche Grund- 
lage für $ 15a TMG besteht ebenso wenig wie für $ 42a BDSG. Der materielle 
Rechtsgedanke einer Informationspflicht der verantwortlichen Stelle bei be- 
stimmten Verstößen gegen geltendes Datenschutzrecht knüpft jedoch an die da- 
mals noch im Entwurfsstadium befindliche Änderungsrichtlinie RL 2009/136/ 
EG an.?® 

In der DS-GVO finden sich entsprechende Meldepflichten gegenüber der 
Aufsichtsbehörde (Art. 33) und gegenüber der betroffenen Person (Art. 34). Da 
die Art. 32 ff. DS-GVO im Abschnitt 2 „Sicherheit personenbezogener Daten“ 
enthalten sind, können sie in systematischer Hinsicht der Datensicherheit zuge- 
ordnet werden. Zusätzliche datenschutzrechtliche Meldepflichten im Unions- 
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recht sind insbesondere nicht für Anbieter digitaler Dienste ausgeschlossen, da 
Art. 16 Abs. 10 NIS-RL nur zusätzliche Meldepflichten untersagt, die die Mit- 
gliedstaaten auferlegen. 


aa) Anlass der Meldung 


Die datenschutzrechtliche Informationspflicht des $ 42a BDSG gegenüber Auf- 
sichtsbehörden greift bei Datenschutzverletzungen. Anlass zur Meldung sind 
nach $ 42a BDSG jedoch nur solche Vorfälle, die besonders sensible Daten be- 
treffen. Dazu gehören solche Daten, die als besondere Arten personenbezogener 
Daten im Sinne des $3 Abs. 9 BDSG zu qualifizieren sind (etwa Angaben zu 
Gesundheit, religiösen oder philosophischen Überzeugung), personenbezogene 
Daten, die einem Berufsgeheimnis unterliegen, die im Zusammenhang mit der 
Strafverfolgung stehen oder die Bank- bzw. Kreditkarten betreffen. 

Die maßgebliche Verletzung nach $ 42a BDSG ist die unrechtmäßige Über- 
mittlung oder die unrechtmäßige Kenntnisnahme durch Dritte. Unrechtmäßig 
ist die Übermittlung oder Kenntniserlangung durch Dritte, wenn sie weder 
durch eine Rechtsvorschrift gedeckt ist noch die Einwilligung des Betroffenen 
vorliegt, § 4 Abs. 1 BDSG. Ist die Übermittlung Ergebnis einer Interessenabwä- 
gung, kommt es darauf an, ob die Abwägung „offensichtlich unhaltbar“ ist.?” 
Gewissheit darüber, ob es zu einer Kenntnisnahme durch Dritte gekommen ist, 
ist nicht erforderlich. Zum Teil sollen tatsächliche Anhaltspunkte dafür genü- 
gen.””! Die Meldepflicht des BDSG greift zudem nur, wenn schwerwiegende 
Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betrof- 
fenen drohen. Auch wenn jede Sicherheitspanne, die personenbezogene Daten 
betrifft, per se eine Missbrauchsgefahr zu Lasten des Betroffenen darstellt, 
hängt die Entstehung der Meldepflicht von den potenziellen Auswirkungen der 
Datenschutzverletzung ab.” Mit der Beschränkung der Pflicht auf schwerwie- 
gende Beeinträchtigungen hat der Gesetzgeber vor allem eine Hürde normiert, 
um Bagatellfälle auszuschließen und so Gewöhnungs- und Abstumpfungsef- 
fekte zu vermeiden.” 

Mit Art. 33 DS-GVO ist die Schwelle für das Entstehen einer Meldepflicht 
erheblich gesenkt worden. Während die Pflicht des $ 42a BDSG nur im Fall der 
Verletzung besonders sensibler Daten greift, erweitert Art. 33 DS-GVO den 
Anwendungsbereich unterschiedslos auf alle Arten personenbezogener Daten. 
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Eine nähere Spezifizierung nimmt Art. 33 Abs. 1 DS-GVO nicht vor. Allerdings 
definiert Art.4 Abs.3 DS-GVO den Begriff der Verletzung. Die Definition 
knüpft ausdrücklich an die „Verletzung der Sicherheit“ an. Erfasst ist nicht nur 
die beabsichtigte oder unbeabsichtigte Vernichtung, der Verlust oder die Verän- 
derung, sondern auch die unbefugte Offenbarung von bzw. der unbefugte Zu- 
gang zu verarbeiteten Daten. 

Die unionsrechtliche Meldepflicht des Art. 33 Abs. 1 DS-GVO ist ebenfalls 
abhängig von der Qualität der Datenschutzverletzung. Nach Art. 33 Abs. 1 Hs. 2 
DS-GVO ist die Verletzung lediglich dann nicht zu melden, wenn positiv fest- 
gestellt werden kann, dass ein Risiko für die Rechte und Freiheiten natürlicher 
Personen aus der Datenschutzverletzung nicht folgt („es sei denn“). Erforderlich 
ist, dass der Verantwortliche eigenverantwortlich eine Risikoabwägung (,vor- 
aussichtlich‘“) vornimmt.?’”* Kriterien für eine Risikoabschätzung sind in der 
Norm nicht vorgegebenn. Aus dem Wortlaut der Vorschrift ergibt sich, dass 
bereits ein einfaches Risiko für die Begründung der Meldepflicht ausreicht („zu 
einem Risiko“). Eine schwerwiegende Beeinträchtigung für Rechte und Freihei- 
ten muss gerade nicht drohen. Überdies sind nicht nur die Rechte und Freiheiten 
des Betroffenen (etwa eines Kunden) erfasst. Zu berücksichtigen sind die ge- 
schützten Rechtsgüter aller natürlichen Personen („natürlicher Personen“). Für 
die weitere Risikobewertung kann der Risikokatalog in Erwägungsgrund 75 der 
DS-GVO herangezogen werden. Bei der Abwägung sind materielle und imma- 
terielle Schäden zu berücksichtigen. 

In zeitlicher Hinsicht ist die Meldung an die Aufsichtsbehörden nicht davon 
abhängig, ob der Verantwortliche angemessene Sicherheitsmaßnahmen getrof- 
fen hat. Die Benachrichtigung der Betroffenen kann davon abhängig gemacht 
werden, ob ein Software-Hersteller über eine Sicherheitslücke informiert und 
ihm eine Frist zur Beseitigung von Schwachstellen gesetzt wurde. Die Meldung 
ist an die Aufsichtsbehörde hat dagegen unverzüglich und möglichst binnen 72 
Stunden zu erfolgen. Die Benachrichtigung an die betroffenen Personen hat da- 
gegen eine höhere Meldeschwelle. Der Behörde wird aufgrund des Geheimnis- 
schutzes ein höherer Grad an Verschwiegenheit beigemessen,” sodass weder 
die Strafverfolgung gefährdet noch das Ausnutzen einer Schwachstelle seitens 
der Datenschutzaufsicht als grundsätzliche Gefahr angenommen wird. 


bb) Inhalt der Meldung 


Die der Aufsichtsbehörde zu meldenden Informationen lassen sich gliedern in 
solche der Risikobewertung, der Faktenmitteilung sowie der Folgenanalyse. 
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Der Aufsichtsbehörde sind nach $ 42a S. 2 bis 4 BDSG neben der Information 
über den Umstand, dass Daten unrechtmäßig Dritten übermittelt wurden oder 
zu deren Kenntnis gelangt sind, Informationen über die „Art der unrechtmäßi- 
gen Kenntniserlangung“ zu geben, die möglichen nachteiligen Folgen der Ver- 
letzung darzulegen sowie die von der verantwortlichen Stelle ergriffenen Ab- 
wehrmaßnahmen mitzuteilen. Art. 33 Abs. 3 lit. a bis d DS-GVO verlangt hin- 
sichtlich des Mindestinhalts darüber hinaus die „Beschreibung“ der Art der 
Verletzung, und, soweit möglich, die Angabe der Kategorien und der ungefäh- 
ren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefäh- 
ren Zahl der betroffenen personenbezogenen Datensätze, die Kontaktdaten so- 
wie die Beschreibung vorgeschlagener Abhilfemaßnahmen. 

Die Art der Verletzung des Schutzes personenbezogener Daten bezieht sich 
auf die vier datenschutzrechtlich zu unterscheidenden Verletzungsmöglichkei- 
ten Vernichtung, Verlust, Veränderung und unbefugte Offenbarung (vgl. Art. 4 
Nr. 12 DS-GVO). Die weiteren Angaben zu den Datenkategorien stehen unter 
Machbarkeitsvorbehalt („soweit möglich“). 

Da sich im Umkehrschluss aus Art. 34 DS-GVO für die Meldepflicht des 
Art. 33 DS-GVO keinerlei Formanforderungen ergeben, können weitere inhalt- 
liche Vorgaben keinen diesbezüglichen Konkretisierungen entnommen werden. 
Aus Art.33 Abs.3 DS-GVO ergibt sich lediglich, dass die Informationen 
schrittweise, d.h. in Form einer Erst- und Zweitmeldung, übermittelt werden 
können. 

Wie umfassend der Inhalt der Meldung, insbesondere die Beschreibung der 
Art der Verletzung, sein muss, ist letztlich eine Frage des mit der datenschutz- 
rechtlichen Meldepflicht verfolgten Zwecks. 

Der systematische Vergleich mit der Benachrichtigung der Betroffenen er- 
gibt, dass der Aufsichtsbehörde zusätzliche Informationen mitzuteilen sind (vgl. 
§ 42a S. 3 BDSG, Art. 34 Abs. 3 DS-GVO). Der Erkenntnisgewinn der Behörde 
soll demnach weitergehend sein. Aus der umfassenden Dokumentationspflicht 
des Verantwortlichen bei Datenpannen gemäß Art. 33 Abs.5 DS-GVO folgt 
wiederum eine Begrenzung der zu meldenden Informationen. Die Dokumenta- 
tion soll der Aufsichtsbehörde die Überprüfung der Einhaltung der Meldepflicht 
ermöglichen. Die Dokumentationspflicht zu Kontrollzwecken wäre weitgehend 
funktionslos, wenn die zu meldenden und dokumentierenden Informationen de- 
ckungsgleich wären. Die Dokumentationspflicht ist sehr weit, da ausnahmslos 
jede Datenschutzverletzung unabhängig von der Risikoabwägung zu dokumen- 
tieren ist („dokumentiert Verletzungen“). Mit der Dokumentation ist ein erheb- 
licher Aufwand für Datensammlung verbunden. Erfasst sind alle mit der Verlet- 
zung im Zusammenhang stehenden „Fakten“, Auswirkungen und ergriffenen 
Maßnahmen. Im Umkehrschluss folgt daraus, dass die Mitteilung einer „Be- 
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schreibung der Art der Verletzung“ nach Art. 33 Abs. 3 lit. a DS-GVO nicht 
notwendig so zu verstehen ist, dass detaillierte Informationen über das „Wie“ 
der Verletzung, d.h. über Schwachstellen oder die für einen Angriff ausgenutz- 
ten Sicherheitslücken, zu melden sind. 

Dass die Datenschutzaufsicht durch die Meldepflicht nicht zu einer umfassen- 
den Generierung von sicherheitstechnischen Informationen im Kontext von Da- 
tenschutzverletzungen angehalten werden soll, entspricht auch der Intention des 
Gesetzgebers. Die Meldepflicht soll die Behörde vor allem in den Stand verset- 
zen, sicherzustellen, dass der datenschutzrechtliche Verstoß beseitigt wird.?” 
Auch Art. 33 DS-GVO soll in erster Linie dem verfahrensrechtlichen Schutz der 
Rechte und Freiheiten des Betroffenen durch Verbesserung des aufsichtsbe- 
hördlichen Informationsstands dienen.” Demnach sind nur Informationen er- 
forderlich, die für aufsichtsrechtlichen Maßnahmen nach $38 Abs.5 BDSG 
bzw. Art. 58 Abs. 6 DS-GVO erforderlich sind.” Um die Aufsicht in die Lage 
zu versetzen, die Erforderlichkeit des Abrufs der genauer dokumentierten Infor- 
mationen zu prüfen, bedarf es in der Vorstufe zunächst nichts weiter als der 
Meldung von Metadaten über die Umstände der Datenschutzverletzung. Der 
möglichen Intervention durch die Aufsichtsbehörde dient letztlich auch die mit- 
zuteilende Folgenabschätzung, denn in Verbindung mit Erfahrungswerten kann 
die Behörde darauf eine eigene Bewertung stützen. Der Mitteilung technischer 
Einzelheiten und damit eventuell verbunden der Preisgabe von Betriebs- und 
Geschäftsgeheimnissen bedarf es für die Entscheidung des weiteren Vorgehens 
noch nicht.” Es reicht daher grundsätzlich eine typisierende Darstellung des 
Vorfalls.”®’ Wird der Sinn der Meldepflicht auch darin gesehen, präventiv den 
„Verheimlichungsinteressen“ der Unternehmen an der Offenlegung von Daten- 
missbräuchen entgegenzuwirken”®' oder ihnen Anreize für die Implementation 
besserer Sicherheitsstandards zu setzen,” ergibt sich ebenfalls kein Erforder- 
nis einer umfassenden Meldung, da diese Zwecke auch mit einem Weniger an 
Informationen erfüllt werden. Im Übrigen können zur zwangsweisen Durchset- 
zung der Verpflichtungen der verantwortlichen Stelle, insbesondere dazu, dem 


27% BT-Drs. 16/12011, S. 35. 

277 Martini, in: Paal/Pauly, DS-GVO, 2017, Art. 33 Rn. 10, 61. 

278 Vgl. Erwägungsgrund 87 S. 3 DS-GVO. 

27 Hornung, NJW 2010, 1841 (1843). 

280 Hanloser, CCZ 2010, 25 (28). 

281 Vgl. Höhne, jurisPR-ITR 20/2009 Anm. 3, B. 

282 Picanso, Fordham L. Rev. 2006, 355 (382 ff.); vgl. Hornung, NJW 2010, 1841 (1841); 
ENISA, Data breach notifications in the EU, 2011, S. 8; ferner Bericht der University of Cali- 
fornia — Berkeley School of Law, Security Breach Notification Laws, 2007, S. 7, Krupna, BB 
2014, 2250 (2252) mit dem Hinweis darauf, dass durch detailreiche Meldungen Bußgelder 
vermieden und damit der Verwaltungsaufwand insgesamt reduziert werden kann. 
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Betroffenen Abhilfemaßnahmen zu empfehlen, hilfsweise ergänzende Informa- 
tionen angefordert werden. Daher sind in der Meldung zwingend auch die Kon- 
taktdaten anzugeben. 

Die Sammlung von Informationen zur präventiven und strukturellen Abwehr 
von Gefahren für die Informationssicherheit ist kein primärer Zweck der da- 
tenschutzrechtlichen Meldepflicht. Soweit aus den gemeldeten Informationen 
Wissen produziert werden kann, stellt sich dies als positiver Reflex der Melde- 
pflicht dar. 


b) Meldepflicht im Telekommunikationsrecht 


Für Anbieter von Telekommunikationsdiensten besteht ebenfalls eine Melde- 
pflicht, die an die Verletzung des Schutzes personenbezogener Daten anknüpft. 
Sie beruht aber nicht auf dem allgemeinen Datenschutzrecht, sondern auf der 
sektorspezifischen Regelung in Art. 4 Abs. 3 und 4 RL 2002/58/EG in Verbin- 
dung mit der Änderungs-RL 2009/136/EG (E-Privacy-Richtlinie).”® Die Rege- 
lung wurde mit $ 109a TKG umgesetzt. Während in binnensystematischer Hin- 
sicht die Meldepflicht in $ 109 TKG die Sicherheit der Netzwerke und Dienste 
betrifft, zielt die Meldepflicht in $ 109a TKG auf die Sicherheit der Verarbeitung 
von personenbezogenen Daten. Da eine Sicherheitsverletzung gleichzeitig eine 
Netzsicherheits- wie eine Datenschutzverletzung sein kann, teilen die Normen 
eine Schnittmenge.”®* 

Im Vergleich zu den anderen an die Verletzung personenbezogener Daten 
anknüpfenden Pflichten ist die Meldung jedoch nicht notwendigerweise an die 
Datenschutzaufsichtsbehörde zu richten. Adressat ist gemäß Art. 4 Abs. 3 E-Pri- 
vacy-RL die „zuständige nationale Behörde“. Die mitgliedstaatliche Organisati- 
onsautonomie erlaubt insofern auch, die Regulierungsbehörde als zuständige 
Behörde zu bestimmten. Der deutsche Gesetzgeber hat von der Freiheit Ge- 
brauch gemacht und sowohl die Datenschutzaufsicht, hier den Bundesbeauf- 
tragten für den Datenschutz und die Informationsfreiheit, als auch die Bundes- 
netzagentur zu Adressaten der Meldungen gemacht. 


aa) Anlass der Meldung 


In sachlicher Hinsicht wird die Pflicht durch jede Verletzung des Schutzes per- 
sonenbezogener Daten ausgelöst. Nach der Terminologie von Art.2 UAbs. 2 
lit. 1) E-Privacy-RL ist darunter eine Sicherheitsverletzung zu verstehen, die auf 
unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur 


283 Vgl. Art. 95 DS-GVO. 
284 ENISA, Technical Guidelines on Security measures for Article 4 and 13a, 2014, S. iii. 
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Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang 
zu personenbezogenen Daten führt, die übertragen, gespeichert oder auf andere 
Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher elekt- 
ronischer Kommunikationsdienste in der Gemeinschaft verarbeitet werden. Da- 
raus ergibt sich zunächst, dass eine Verletzung des Fernmeldegeheimnisses 
nicht informationspflichtig ist.” Eine weiterführende Legaldefinition des Be- 
griffs der Verletzung ergibt sich aus $ 3 Nr. 30a TKG. Diese knüpft an die Ver- 
letzung der Datensicherheit an. 

Was eine Verletzung der Datensicherheit ist, erschließt sich aus dem Zusam- 
menspiel mit den materiell-rechtlichen Sicherheitsanforderungen in $ 109 TKG. 
Demnach beinhaltet sowohl die Nichterfüllung der Anforderungen in $ 109 
TKG (soweit diese kausal für Belastungen personenbezogener Daten geworden 
sind) als auch die Überwindung der technischen wie organisatorischen Schutz- 
vorkehrungen durch Dritte eine Sicherheitsverletzung.°° Typische Fälle wie 
Hackingangriffe oder ein Datenverlust lösen folglich die Meldepflicht aus. 

Aus der Definition der Datenschutzverletzung in $ 3 Nr. 30a TKG ergibt sich 
nicht, dass das Verständnis personenbezogener Daten auf Bestands- und Ver- 
kehrsdaten beschränkt ist. So kann der Begriff prinzipiell weit verstanden wer- 
den. Auch sonst ist eine nach dem Schweregrad der Verletzung bemessene Mel- 
deschwelle oder die Begrenzung auf eine bestimmte Situation nicht vorgesehen. 
Auch vermeintlich geringfügige Datenschutzverletzungen mit weniger schwe- 
ren Auswirkungen sind den Aufsichtsbehörden mitzuteilen. Dies ergibt sich 
auch unionsrechtlich aus Art. 2 Abs. 1 der Durchführungsverordnung der Kom- 
mission VO (EU) Nr. 611/2013.°#7 

Der deutsche und unionsrechtliche Wortlaut der Meldepflicht gegenüber den 
Behörden („hat im Fall einer Verletzung“) im Vergleich mit demjenigen betref- 
fend die Meldepflicht gegenüber den Betroffen („ist anzunehmen‘“) ergibt, dass 
die Sicherheitsverletzung positiv festgestellt sein muss. Allein der Verdacht oder 
die Annahme einer Beeinträchtigung verpflichten die Unternehmen noch nicht 
zur Meldung des Vorfalls. Art. 2 Abs. 2 UAbs. 3 VO (EU) Nr. 611/2013 lässt sich 
entnehmen, dass es dafür auf eine hinreichende Kenntnis insofern ankommt, als 
eine „sinnvolle“ Benachrichtigung vorgenommen werden kann. Es kommt also 
auf die Möglichkeit an, eine aussagekräftige Meldung abzugeben. 

Eine Möglichkeit, die Meldepflicht durch vorher getroffene Sicherheitsmaß- 
nahmen abzuwenden, besteht nicht. Für die Meldung an die Behörden gilt nicht 


285 Graulich, in: Arndt/Fetzer/Scherer/ders. (Hrsg.), TKG, 2. Aufl. 2015, § 109a Rn. 14. 

286 Heun, in: Auernhammer, 4. Aufl. 2014, TKG, Vor. zu § 88 Rn. 112; vgl. Erwägungs- 
grund 59 RL 2009/136/EG. 

287 Zur erheblichen Anzahl der Meldungen siehe BfDI, 24. Tätigkeitsbericht zum Daten- 
schutz für die Jahre 2011 und 2012, BT-Drs. 17/13000, S. 58 f. 
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die Ausnahme, dass eine Meldung dann nicht erforderlich ist, wenn ein Sicher- 
heitskonzept nachgewiesen wurde, gemäß dem die betroffenen personenbezo- 
genen Daten durch technische Vorkehrungen wie als sicher anerkannte Verschlüs- 
selungsverfahren gespeichert wurden. Der § 109a Abs. 1 S.3 TKG bezieht sich 
nur auf die Benachrichtigung an die Betroffenen, sodass die zuständigen Behör- 
den in jedem Falle zu unterrichten sind. 

In zeitlicher Hinsicht erhalten die Behörden vergleichsweise zügig eine erste 
Meldung. Die Verpflichteten haben bei Vorliegen einer Datensicherheitsverlet- 
zung die Behörden unverzüglich ($ 121 BGB) zu benachrichtigen. Art. 2 Abs. 3 
VO (EU) Nr. 611/2013 geht von einer ersten Meldung binnen 24 Stunden nach 
Feststellung der Verletzung aus. Aus der zulässigen Nachmeldung innerhalb 
von drei Tagen folgt, dass es in der Erstmeldung zuvorderst darauf ankommt, 
überhaupt entscheidungsrelevante Informationen mitzuteilen, ohne dass es auf 
deren Vollständigkeit ankommt. 


bb) Inhalt der Meldung 


Die bereits im Gesetzestext von Art.4 Abs. 3 UAbs. 3 E-Privacy-RL sowie 
§ 109a Abs. 2 S.2 TKG angelegten Vorgaben zum Inhalt der Meldung entspre- 
chen denen der DS-GVO. 

Zur Sicherstellung einer unionsweit einheitlichen Anwendung der Melde- 
pflicht werden nach Art. 4 Abs. 5 E-Privacy-RL die Umstände, die Form und 
das Verfahren durch von der Kommission zu erlassende Durchführungsmaß- 
nahmen ergänzt. Vorbehaltlich dieser Maßnahmen kann die Bundesnetzagen- 
tur, nicht aber auch der Datenschutzbeauftragte Leitlinien erlassen. 

Die nach Art.2 Abs.2 UAbs. 2 der Durchführungs-VO (EU) Nr. 611/2013 
aufzuführenden Angaben gehen über die notwendigen Meldeinhalte der allge- 
meinen datenschutzrechtlichen Meldepflicht hinaus. Neben den allgemeinen 
Rahmendaten zum Vorfall entsprechend der Gliederung Risikobewertung, Fak- 
tenmitteilung Folgenanalyse sind „Art und Inhalt der betroffenen personen- 
bezogenen Daten“ sowie „technische und organisatorische Maßnahmen, die der 
Betreiber in Bezug auf die betroffenen personenbezogenen Daten ergriffen 
hat“, anzugeben (Anhang I Nr. 6 und 7 VO (EU) Nr. 611/2013). Prima facie er- 
gibt sich daraus das Erfordernis der Übermittlung einer Kopie der personenbe- 
zogenen Daten sowie die Darstellung der Maßnahmen zur Gewährleistung der 
Datensicherheit vor dem Vorfall. 

Der Auslegung dahin, die Übermittlung der betroffenen Daten selbst sei er- 
forderlich, steht entgegen, dass sie weder notwendig ist, um eine aufsichtsbehörd- 
liche Informationsbasis zu schaffen, noch um die Bedingungen des Vorfalls 
tiefergehend IT-forensisch zu analysieren. 
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Die Pflicht zur umfangreichen Mitteilung des Sicherheitsmanagements lässt 
sich nicht bereits mit dem Argument abtun, die Bundesnetzagentur kenne das 
bestehende Sicherheitskonzept der Diensteanbieter ($ 109 Abs. 4 TKG). Unions- 
rechtlich haben die Mitgliedstaaten lediglich sicherzustellen, dass die Behörden 
befugt sind, die Übermittlung zu verlangen (Art. 13b Abs. 2 a) RL 2002/21/EG 
in Verbindung mit Änderungs-RL 2009/140/EG). Außerdem dient der Nach- 
weis geeigneter technischer Schutzmaßnahmen den Behörden der Prüfung, ob 
gemäß Art. 3 Abs. 3 UAbs. 3 E-Privacy-RL die Benachrichtigung der Betroffe- 
nen unterbleiben kann. Für das Unterbleiben der Betroffenenbenachrichtigung 
reicht im Übrigen nicht der formale Nachweis eines Sicherheitskonzepts. Es 
muss vielmehr geeignet sein, nachzuweisen, dass die Daten wirksam vor der 
Kenntnisnahme durch Dritte geschützt sind (Art.4 Abs. 1 und 2 VO (EU) 
Nr. 611/2013). Dafür ist zu prüfen, ob die Daten auf sichere Weise kryptogra- 
fisch verschlüsselt waren. 

Daraus ergibt sich, dass die zuständige Behörde im Wege der Meldung erwei- 
terte Rahmendaten erhält, die zusätzliche Schlüsse auf die Ursachen des Vor- 
falls zulassen können. 

Im Übrigen haben die Diensteanbieter aber keine konkreten Angaben über 
etwaige Ergebnisse sicherheitstechnischer Analysen zu übermitteln. Spezifi- 
sche technische Details, Ursachen sowie Abhilfen besonderer Sicherheitslücken 
sind auch nicht nach den Leitlinien, die die Bundesnetzagentur gemäß $ 109a 
Abs. 5 TKG (Art. 4 Abs. 5 RL 2002/58/EG) vorgeben darf, zu melden.?®® Aus 
dem Selbstverständnis der Meldeadressaten ergibt sich insofern auch nur, dass 
die abgefragten Kategorien wie die Art der angegriffenen Daten, die Weise der 
Kenntnisnahme und des Schweregrades der Verletzung bei Häufung von Vor- 
fällen oder anderen statistischen Signifikanzen eine Priorisierung und damit 
effizientere Aufsichtstätigkeit ergeben soll.”? 

Die Meldung wird technisch vollzogen, indem ein „Meldebogen“ im editier- 
baren PDF-Format in elektronischer Form per E-Mail an die Bundesnetzagentur 
übermittelt wird.” Die Realisierung der Meldepflicht ist paradigmatisch für die 
Meldeprozesse im Bereich der Netz- und Informationssicherheit. Die melde- 


288 Bundesnetzagentur, Leitlinien zur Melde- und Benachrichtigungspflicht nach $ 109a 
TKG, Stand 2014, S. 1ff.; vgl. aber Heun, in: Auernhammer, 4. Aufl. 2014, TKG, § 109a 
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289 BfDI, 24. Tätigkeitsbericht zum Datenschutz für die Jahre 2011 und 2012, BT-Drs. 
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29 Das Formular für Meldungen nach $ 109a Abs. 1 S. 1 TKG ist abrufbar unter: http:// 
www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/ 
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blicationFile&v=5. 
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relevanten Informationen müssen händisch eingeholt und auf den Meldebogen 
übertragen werden. Das Bestehen einer IT-gestützten Rahmenarchitektur für 
die automatisierte Übermittlung von Meldungen ist nicht ersichtlich. Daher 
können die Meldungen auch nicht in einem maschinenlesbaren Format erstellt 
und medienbruchfrei durchgeführt werden. Erforderlich ist je eine individuelle 
Interpretation der gemeldeten Daten. 

Die Meldepflicht für Telekommunikationsdiensteanbieter bei Verletzung des 
Schutzes personenbezogener Daten ermöglicht im Vergleich zur allgemeinen 
datenschutzrechtlichen Meldepflicht einen erweiterten Einblick in die Daten- 
sicherheit des Anbieters. Jedoch zeigt sich an den gesetzgeberischen Vorgaben 
des Inhalts und der Durchführung der Meldung, dass die Meldung über ein 
In-Kenntnis-Setzen der Behörde nicht wesentlich hinausgeht. Für die Wissens- 
produktion sicherlich förderlich ist aber, dass die Bundesnetzagentur zusätzlich 
in den Meldeweg eingebunden ist. Durch die Parallelisierung kann es bei der 
Bundesnetzagentur zu Synergieeffekten kommen, da bei ihr auch die Meldun- 
gen bei sonstigen Sicherheitsverletzungen nach $ 109 Abs. 5 TKG eingehen. 


II. Befugnisse zur Generierung von Informationen 


Über eine besondere Befugnis zur Einholung von Informationen verfügt hin- 
sichtlich der Sicherheit von IT-Produkten und -Systemen das Bundesamt für 
Sicherheit in der Informationstechnik (1.). Die Bundesnetzagentur kann über 
eine allgemeine sicherheitsbezogene Befugnis Informationen einholen (2.). Über 
weitreichende Informationsbefugnisse verfügen die Nachrichtendienste (3.). 


1. Untersuchung von IT-Produkten und -Systemen 


a) Informationspflichten für Hersteller von Soft- und Hardware im öffentlichen 
Sicherheitsrecht 


Für Sicherheitsmängel sind zu einem großen Teil die bei den Anbietern und 
Betreibern von Internetinfrastrukturen eingesetzte Soft- und Hardware oder 
eine Interaktion zwischen bestimmten Codes ursächlich. Angriffe über das In- 
ternet sind häufig deshalb erfolgreich, weil IT-Produkte Sicherheitslücken ent- 
halten, die ausgenutzt werden können. 

Die Verantwortlichkeit eines Herstellers endet grundsätzlich dort, wo ein 
Dritter vorsätzlich und rechtswidrig einen Schaden herbeiführt. Eine Ver- 
antwortlichkeit kann sich dennoch aus der vertraglichen Mängelhaftung oder 
der außervertraglichen Produkthaftung ergeben. Das zivilrechtliche Pro- 
dukthaftungsrecht wird flankiert durch öffentlich-rechtliche Vorschriften zur 
Produktsicherheit. Das Produktsicherheitsgesetz (ProdSG) enthält informa- 
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tionsverwaltungsrechtliche Regelungen zur Informationsgenerierung der Mark- 
tüberwachungsbehörden.””! Rechtliche Hebel zur Generierung von spezifisch 
IT-sicherheitsrelevanten Informationen von IT-Herstellern bestehen jedoch 
kaum. Zwar trifft den Hersteller im IT-Bereich auch die Pflicht zur besonders 
sorgfältigen Produktbeobachtung. Bei drohenden Gefahren für Leib und Leben 
kann sogar die Pflicht zur öffentlichen Warnung begründet sein.” Eine echte 
Pflicht zur Meldung detektierter IT-Schwachstellen besteht jedoch nicht. 

Die Anwendbarkeit des ProdSG für Softwareprodukte ist ohnehin proble- 
matisch. Streitig ist insbesondere die Eigenschaft von Software als Produkt im 
Sinne des ProdSG. Während Hardware als verkörperter Gegenstand den Pro- 
duktbegriff von $ 2 Nr. 22 ProdSG erfüllt, ist dies bei Software weiterhin frag- 
lich. Insofern kann zwischen sog. „embedded Software“, d.h. solcher Software, 
die in ein Endprodukt integriert ist und Steuerungsfunktionen erfüllt, und sol- 
cher Software, die selbstständig zu nutzen ist, unterschieden werden.?” Soft- 
ware erfüllt grundsätzlich nur in Form verkörperter Datenträger die Produkt- 
eigenschaft.?”* Außerdem bezweckt das ProdSG nur den Schutz vor Gefährdun- 
gen der Sicherheit und Gesundheit von Verwendern und Dritten. Aus Art. 2 
lit. b Produktsicherheits-RL?” und $ 3 ProdSG geht hervor, dass die sicherheit- 
stechnischen Anforderungen auf die Risiken für die körperliche Integrität der 
geschützten Personen zielen und nicht auf die hier relevante Sicherheit im Sinne 
der Schutzziele der Netz- und Informationssicherheit wie die Integrität und Ver- 
traulichkeit informationstechnischer Systeme oder auf Risiken industrialisier- 
ter Persönlichkeitsverletzungen mit Bezug auf personenbezogene Daten.” Im 
Übrigen bestehen auch keine vertikalen Rechtsverordnungen im Sinne des § 8 
Abs. 1 ProdSG, auf deren Grundlage weitere Rechtsgüter einbezogen werden 
könnten. ??” 

Allgemeine, präventiv wirkende öffentlich-rechtliche Pflichten der IT-Her- 
steller, etwa zur ständigen Produktbeobachtung oder zur Bereitstellung von In- 
formationen, sind darüber hinaus weder im BSIG, TMG noch im TKG vorgese- 


291 Siehe Abschnitt 7 des ProdSG für Informations- und Meldepflichten. 
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hen. Gleiches gilt für das den Gesetzen zugrundeliegende Unionsrecht. Mit dem 
durch das IT-Sicherheitsgesetz eingeführten $ 8b Abs. 6 BSIG besteht lediglich 
eine Anordnungsbefugnis gegenüber Software-Herstellern. Diese können zur 
Mitwirkungen an der Beseitigung oder Vermeidung von Störungen verpflichtet 
werden. 


b) Befugnis zur Untersuchung von IT-Sicherheitsprodukten 


Bedeutung für die Generierung von Informationen von Soft- und Hardware hat 
die Befugnis zur Überprüfung der Sicherheit von IT-Produkten. Mit dem IT-Si- 
cherheitsgesetz wurde mit $ 7a BSIG eine Rechtsgrundlage geschaffen, die es 
dem BSI erlaubt, informationstechnische Produkte und Systeme darauf zu un- 
tersuchen, ob diese frei von Schwachstellen sind. 

Der Begriff ist weit zu verstehen. Nach der Definition von IT-Sicherheitspro- 
dukten in § 3 Abs. 1 Nr.3 BSIG sind darunter informationstechnische Sicher- 
heitsvorkehrungen, insbesondere informationstechnische Verfahren und Gerä- 
te, zu verstehen. Die Untersuchungsbefugnis ist zweckgebunden und bezieht 
sich auf die Erfüllung der in $3 Abs. 1 S. 1 Nr. 1, 14 und 17 BSIG statuierten 
Aufgaben. Sie dient somit der Beratung und Warnung sowohl staatlicher Stellen 
als auch der Hersteller, Vertreiber und Anwender (Nr. 14). Die Verweisungs- 
kette führt in Nr. 17 zu dem eigenständigen Aufgabenkatalog in $ 8b Abs. 2 
BSIG, sodass zu den umfassenden Intelligence-Funktionen des BSIG als zent- 
rale Stelle für die Informationssicherheit in kritischen Infrastrukturen auch die 
Untersuchungsbefugnis als Informationsbefugnis zu zählen ist. 

Die Untersuchung von IT-Produkten, beispielsweise durch Reverse Engineer- 
ing im Fall von Software, ist grundsätzlich mit rechtlichen Risiken behaftet. 
Eine solches Vorgehen kann „unbefugt“ im Sinne von $ 202a StGB oder 88 17 ff. 
UWG sein und damit strafbares Ausspähen von Daten oder strafbaren Verrat 
von Betriebs- und Geschäftsgeheimnissen darstellen. 

Untersuchungsgegenstände sind die auf dem Markt bereitgestellten oder da- 
für vorgesehenen informationstechnischen Produkte. Den Begriff „auf dem 
Markt bereitgestellter Produkte‘ bestimmt das Gesetz weiter nicht. Die Formu- 
lierung findet sich aber im ProdSG und ist dort in $2 Nr. 4 definiert als jede 
entgeltliche oder unentgeltliche Abgabe eines Produkts zum Vertrieb, Ver- 
brauch oder zur Verwendung. Die Formulierung „zur Bereitstellung auf dem 
Markt vorgesehen“ im BSIG macht darüber hinaus deutlich, dass die Befugnis 
auch Hard- und Software umfasst, die zwar vom Hersteller bereits angekündigt 
wurden, aber noch nicht allgemein auf dem Markt verfügbar sind. 

An einen näher spezifizierten Anlass ist die Ausübung des Untersuchungs- 
rechts nicht gebunden. Über die Untersuchung muss der Hersteller nicht infor- 
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miert werden und im Zweifel kann sie auch gegen den Willen des Herstellers 
erfolgen.” Weitergehende Untersuchungsrechte bei Herstellern, Anbietern und 
sonstigen Einrichtungen werden durch die Befugnis nicht begründet.”” Für die 
eigentliche Untersuchung kann sich das BSI Dritter bedienen, d.h. ein Test kann 
auch durch akkreditierte Institutionen vorgenommen werden. 

Durch $7a BSIG kommt dem BSI eine Marktbeobachtungsfunktion zu. 
Diese ist zwar durch die Begrenzung auf bestimmte Aufgaben nicht umfassend. 
Im Ergebnis kommt die durch $ 7a BSIG entstehende Prüfkompetenz durchaus 
im Ansatz einem „Sicherheits-TÜV“ gleich.” 

Die praktische Reichweite der Befugnis darf allerdings nicht überschätzt 
werden. Die Untersuchung eines einzelnen Programms oder Hardwareprodukts 
kann aufgrund der Komplexität der Produkte so viele Ressourcen binden (wenn 
sich das BSI Dritter bedienen würde, wären dies insbesondere finanzielle Res- 
sourcen), dass nur in Einzelfällen eine punktuelle Prüfung durchführbar sein 
dürfte. Eine weitreichendere Erkenntnisgewinnung wäre eher mit einer Aus- 
kunftsbefugnis zu erreichen, die Hersteller verpflichtet, ihnen bekannte Schwach- 
stellen der NIS-Behörde unabhängig von einem Sicherheitsvorfall offenzule- 
gen. Eine solche Auskunftsbefugnis ergibt sich aus $ 7a BSIG aber nicht. 

Bedeutung für die Sicherheitsgewährleistung hat die Norm nicht nur, weil sie 
Rechtssicherheit für die Untersuchung von IT-Produkten schafft, sondern dar- 
über hinaus, weil sie die Weitergabe und Veröffentlichung der gewonnenen Er- 
kenntnisse erlaubt.?®! 


2. Informationsbefugnisse im sicherheitsbezogenen Telekommunikationsrecht 


Bereits bei der Untersuchung der Meldepflichten wurde die Bedeutung des 
Telekommunikationsrechts für das sicherheitsbezogene Informationsverwal- 
tungsrecht deutlich. Neben Informationsbeibringungspflichten stellt das TKG 
Informationsbefugnisse bereit, die für den Bereich der nichtökonomischen Re- 
gulierung von Bedeutung sind. Zu unterscheiden ist die spezielle Informations- 
befugnis des $ 115 TKG (a) von den allgemeinen Informationsbefugnissen des 
§ 127 (b). 


a) Sicherheitsbezogene Informationsbefugnis 


Eine spezielle Informationsbefugnis im Bereich der nichtökonomischen Regu- 
lierung ergibt sich aus § 115 Abs. 1 S. 2 TKG. Die Norm ist systematisch an das 


28 Hornung, NIW 2015, 3334 (3339). 
29 BT-Drs. 18/4096, S. 41. 

300 Vgl. Roos, MMR 2014, 723 (728). 
301 Siehe § 5 B. I. 3. 
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Ende von Teil 7 des TKG gestellt und gehört somit zu den unmittelbar auf die 
Öffentliche Sicherheit beziehenden Vorschriften, §§ 88 bis 115 TKG (aa). Die 
Reichweite der Informationsbefugnis richtet sich vor allem danach, wie das Tat- 
bestandsmerkmal der Erforderlichkeit zu verstehen ist (bb). 


aa) Sicherstellung materiell-rechtlicher Sicherheitspflichten 


Die Bundesnetzagentur kann gemäß $ 115 Abs. 1 S. 1 TKG Anordnungen und 
andere Maßnahmen treffen, um die Einhaltung der Vorschriften des Teils 7 und 
der aufgrund dieses Teils ergangenen Rechtsverordnungen sowie der jeweils 
anzuwendenden Technischen Richtlinien sicherzustellen. Durch $ 115 Abs. 1 
S.1 TKG erhält die Bundesnetzagentur eine Generalermächtigung zur Durch- 
setzung der materiell-rechtlichen Sicherheitspflichten und der aufgrund dieses 
Teils ergangenen Rechtsverordnungen und der jeweils anzuwendenden techni- 
schen Richtlinien.’ 

Nach $ 115 Abs. 1 S.2 TKG müssen die Verpflichteten der Bundesnetzagen- 
tur auf Anforderung die hierzu erforderlichen Auskünfte erteilen.” $ 115 
Abs. 1 S.2 TKG erfüllt die Anforderung von Art. 13b lit. a) RL 2009/140/EG, 
der das Bereitstellen der erforderlichen Informationen durch die Unternehmen 
zur Beurteilung der Sicherheit und Integrität der Dienste und Netze vorsieht. 

Die Formulierung „hierzu“ stellt klar, dass sich die Auskünfte auf die Einhal- 
tung der Vorschriften des Teils 7 beziehen und insoweit auch beschränken. Aus 
den in Satz2 „Verpflichteten“ ergibt sich auch der Adressat der Pflichten aus 
§ 115 Abs. 1 TKG. Der verpflichtete Personenkreis hängt von der jeweiligen 
Bestimmung ab, deren Einhaltung kontrolliert oder sichergestellt werden soll. 
Für die sicherheitsbezogenen Pflichten sind dies primär die Betreiber öffentli- 
cher Telekommunikationsnetze und Anbieter öffentlich zugänglicher Telekom- 
munikationsdienste. 

Das Verhältnis der Generalermächtigung nach Satz 1 und der Auskunfts- 
pflicht nach Satz 2 ist nicht ohne Weiteres erkennbar. $ 115 Abs. 1 S.2 TKG 
könnte eine selbstständige Eingriffsgrundlage darstellen, die zum Erlass von 
Verwaltungsakten befugt.”* Eine Auskunftspflicht könnte nach dieser Auffas- 
sung isoliert bestehen. In Betracht kommt auch, dass sich die Vorschrift akzes- 
sorisch zur generalklauselartigen Anordnungsbefugnis in Satz 1 verhält. Bei 


302 Graulich, in: Arndt/Fetzer/Scherer/ders. (Hrsg.), TKG, 2. Aufl. 2015, § 115 Rn. 2. 

303 Vgl. Gusy, Ziele, Aufträge und Maßstäbe der Sicherheitsgewährleistung, in: ders./ 
Kugelmann/Würtenberger, Rechtshandbuch Zivile Sicherheit, 2017, S. 55 (75), der der Norm, 
ohne weiter auf sie einzugehen, Potential für „neue Fragen, aber möglicherweise auch für 
neue Antworten“ zuschreibt. 

304 Klesczewski, in: Säcker (Hrsg.), TKG, 3. Aufl. 2013, $ 115 Rn. 4, 9. 
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letzterer Auffassung wäre ein Auskunftsverlangen eine behördliche Verfah- 
renshandlung, die im Sinne von $ 4a VwGO nur gemeinsam mit einer Anord- 
nung nach $ 115 Abs. 1 S. 1 TKG, die als „Sachentscheidung“ anzusehen wäre, 
angegriffen werden könnte.’ Die Auskunftspflicht kann zudem als eine über 
826 Abs.2 VwVfG hinausgehende Mitwirkungspflicht im Sinne von $26 
Abs. 2 S.3 VwVfG verstanden werden, die die Verpflichteten deshalb zu einer 
besonderen Mitwirkung verpflichtet, weil sie weitgehend die Informationsherr- 
schaft über betriebsinterne Vorgänge haben.?'s 

Der Befugnischarakter der Norm ist jedenfalls ausgehend vom Wortlaut 

„muss“, „auf Anforderung“) nicht ausgeschlossen. Die systematische Stellung 
der Auskunftspflicht in Satz 2 nach der Anordnungsbefugnis in Satz 1 legtnahe, 
dass die Auskunftserteilung an ein bestimmtes Informationsbedürfnis an- 
knüpft. Das Auskunftsverlangen ist an die Überprüfung im Rahmen der Befol- 
gungskontrolle gekoppelt. Die für die Wahrnehmung dieser Aufsichtsfunktion 
erforderlichen Informationen können den Anordnungen und Maßnahmen nach 
Satz 1 vorgeschaltet sein, da sie sich grundsätzlich auf eine Informationsbasis 
stützen müssen. Erst die behördliche Informationskompetenz begründet eine 
Interventionskompetenz. Insoweit ist die Informationserhebung von den Maß- 
nahmen, mit denen die etwaige festgestellte Nichteinhaltung korrigiert wird, zu 
unterscheiden.” Demnach steht $ 115 Abs. 1 S.2 TKG zur Generalermächti- 
gung nicht im Verhältnis der Akzessorietät, sondern der Komplementarität.’”® 
Eine Bindung besteht durch den Zweck des Auskunftsverlangens, das unmittel- 
bar an die Sicherstellung der Einhaltung der Vorschriften des Teils 7 anknüpft. 
In diesem Sinne kann $ 115 Abs. 1S.2 TKG als eine auf die Anordnungskom- 
petenz zugeschnittene spezielle Eingriffsbefugnis verstanden werden.?” 

Aus einer so verstandenen Eingriffsbefugnis folgt, dass die Verpflichteten 
der Bundesnetzagentur Auskunft über Voraussetzungen erteilen müssen, wel- 
che die Behörde für die Prüfung des Verwaltungsaktes in Form einer Anord- 
nung oder Maßnahme nach § 115 Abs. 1 S.1 TKG benötigt. Die generierten 
Informationen müssen die Behörde in die Lage versetzen, zu entscheiden, ob 


305 Graulich, in: Arndt/Fetzer/Scherer/ders. (Hrsg.), TKG, 2. Aufl. 2015, $ 115 Rn. 8. 

306 Zur entsprechenden Vorgängernorm Trute, in: ders./Spoerr/Bosch, TKG, 2001, § 91 
Rn. 5.; vgl. Stohrer, Informationspflichten Privater gegenüber dem Staat in Zeiten von Priva- 
tisierung, Liberalisierung und Deregulierung, 2007, S. 206. 

307 Berliner, Informationsbefugnisse der Bundesnetzagentur im Telekommunikationsrecht, 
2012, S. 41. 

308 Graulich, in: Arndt/Fetzer/Scherer/ders. (Hrsg.), TKG, 2. Aufl. 2015, § 115 Rn. 9. 

309 Berliner, Informationsbefugnisse der Bundesnetzagentur im Telekommunikationsrecht, 
2012, S. 41. 
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und ggf. welche Anordnungen oder weitere Aufsichts- und Kontrollmaßnahmen 
getroffen werden müssen. 

Sprachlich bezieht sich eine Auskunft auf die Erteilung sachlich begrenzter 
Informationen. 

Die Behörde ist im Rahmen einer Auskunftsbefugnis daher grundsätzlich 
nicht berechtigt, zur Erleichterung ihrer Aufgabenwahrnehmung subjektive 
Einschätzungen und Beurteilungen einzufordern.?!° Noch auf das Auskunfts- 
rechtdürfte sich die Vorlage eines Umsetzungskonzepts zur Einhaltung sicher- 
heitsrechtlicher Pflichten stützen.°'! Im Umkehrschluss aus $ 127 Abs.2 S.1 
Nr. 2 und Abs. 4 TKG kann jedoch nicht die eingriffsintensivere Übersendung 
oder Aushändigung von Unterlagen unter Aufgabe des Gewahrsams verlangt 
werden.’ 

Die Verpflichteten müssen die Auskünfte „auf Anforderung“ erteilen. Anders 
als bei selbstständigen Informationsbeibringungspflichten sind die Informatio- 
nen nicht aufgrund bestimmter Ereignisse oder aus Eigeninitiative zu über- 
mitteln.?" 


bb) Kriterium der Erforderlichkeit aus der Wissensperspektive 


Die NIS-Behörden haben grundsätzlich einen kontinuierlichen Bedarf an aktu- 
ellen Informationen. Aus eben diesem Grund gehört es gemäß $ 8b Abs. 2 Nr. 3 
BSIG zu den Aufgaben des BSI, „das Lagebild bezüglich der Sicherheit in der 
Informationstechnik [...] kontinuierlich zu aktualisieren“. Soweit Telekommu- 
nikationsinfrastrukturen kritische Infrastrukturen sind (vgl. $ 8c BSIG), besteht 


310 Berliner, Informationsbefugnisse der Bundesnetzagentur im Telekommunikations- 
recht, 2012, S. 50. 

311 OVG Münster, MMR 2010, 134 (134f.). Die Bundesnetzagentur durfte das Konzept 
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§ 115 TKG lediglich das Betreten und Besichtigen der Geschäfts- und Betriebsräume erlaubt. 
Siehe Eckhardt, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, $ 115 Rn. 5; Klesczewski, 
in: Säcker (Hrsg.), TKG, 3. Aufl. 2013, $ 115 Rn. 9, 15. Heun, in: Auernhammer, BDSG, TKG, 
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in: Säcker (Hrsg.), TKG, 3. Aufl. 2013, § 115 Rn. 7. 

33 Vgl. Jarass, in: ders. (Hrsg.), BImSchG, $ 52 Rn. 36. 
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bei der Bundesnetzagentur in tatsächlicher Hinsicht ein gleichgelagerter Infor- 
mationsbedarf. In rechtlicher Hinsicht ist der telekommunikationsrechtliche 
Gewährleistungsauftrag aus $ 1 TKG nicht auf konkrete Gefahrensituationen 
begrenzt. Die Bundesnetzagentur ist nicht nur permanent auf Entscheidungs- 
wissen angewiesen, sondern muss auch ausreichend mit Informationen versorgt 
sein, um ihre Rückfallposition in der Gewährleistungsverantwortung für die 
Bereitstellung der Telekommunikationsdiente wahrnehmen zu können. !* Eine 
kontinuierliche und umfassende Information mag ein Stück weit der Gefahr ei- 
ner Informationssteuerung der Regulatoren durch die Regulierten vorbeugen, 
die bei Bestehen einer Asymmetrie in der Informationslage zwischen Privaten 
und Regulierungsverwaltung entstehen kann. Die Bundesnetzagentur ist in ih- 
rer originären Funktion für die Sicherheit der Telekommunikationsinfrastruk- 
turen und in ihrer Funktion in der Weitergabe von Informationen an das BSI 
daher im Grundsatz nicht weniger auf einen kontinuierlichen Informationsfluss 
im Vorfeld spezifischer Ereignisse auf Informationen angewiesen als das BSI. 

Angesichts der strukturellen Offenheit der Regulierungsaufgaben, zu denen 
nach $2 Abs. 2 Nr.9 TKG die Interessen der öffentlichen Sicherheit gehören, 
und der dadurch bedingten Vermehrung der Informationsbedürfnisse, stellt sich 
die Frage, wie das Gesetz einer „Entgrenzung des behördlichen Informationsge- 
barens“ entgegenwirkt.?"° 

Der Wortlaut von $ 115 Abs. 1 S.2 TKG weist auf eine Begrenzung der be- 
hördlichen Informationserhebung hin. Informationen dürfen nur abgefragt wer- 
den, soweit sie für die Anordnungen oder sonstigen Maßnahmen „erforderlich“ 
sind. 

Allerdings ist damit noch nicht gesagt, welcher Maßstab an die Erforderlich- 
keit der Auskünfte zu legen ist.°!° 

Mit Blick auf $ 127 TKG, der informationellen Generalbefugnis für Aus- 
kunftsverlangen, die sich auf den gesamten Zuständigkeitsbereich der Bundes- 
netzagentur erstreckt und nach der die Betreiber „Auskünfte zu erteilen [ha- 
ben], die für den Vollzug dieses Gesetzes erforderlich sind“, wird zum Teil das 
Merkmal der Erforderlichkeit sehr weit ausgelegt. Zum einen seien die kartell- 


314 Vgl. Eifert, Regulierungsstrategien, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle 
(Hrsg.), Grundlagen des Verwaltungsrechts, Bd.I, 2006, $ 19 Rn. 151; vgl. zu den unzurei- 
chenden Formen der Informationsbeschaffung im TKG Röhl, Der rechtliche Kontext der 
Wissenserzeugung, DV, Beiheft 9, Wissen — Zur kognitiven Dimension des Rechts, 2010, 
S. 65 (83); vgl. aber Ruffert, in: Säcker (Hrsg.), TKG, 3. Aufl. 2013, $ 127 Rn. 8. 

35 Kritisch Gärditz, Regulierungsrechtliche Auskunftsanordnung als Instrument der 
Wissensgenerierung, DVBl. 2009, 69 (71). 

316 Vgl. Eifert, Die gerichtliche Kontrolle der Entscheidungen der Bundesnetzagentur, 
ZHR 174 (2010), 449 (472); Holznagel/Schulz, MMR, 2002, 364 (366). 
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rechtlichen Eingriffsvoraussetzungen, wie sie sich aus der parallelen Auskunfts- 
befugnis im GWB ergäben, nicht unbesehen zu übertragen.’ Zum anderen er- 
fordere die spezifische regulierungsverwaltungsrechtliche Notwendigkeit der 
Wissensgenerierung eine kontinuierliche Informationserhebung, die über die 
Informationserhebung zur Ausübung der ordnungsrechtlichen Aufsichtstätig- 
keit, und damit über die Kontrolle rechtskonformen Verhaltens, hinausgeht.°"® 

Fraglich ist, ob sich diese weite Auslegung auf $ 115 Abs. 1 S.2 TKG übertra- 
gen lässt. 

Ebenso wie $ 115 Abs. 1 S.2 TKG handelt es sich bei $ 127 Abs. 1 TKG um 
eine Rechtsgrundlage für Auskunftsanordnungen als Instrument der Informa- 
tionsgenerierung. Die Vorgängernorm von $ 127 TKG, $ 72 TKG-1996, wurde 
dem wettbewerbsrechtlichen § 59 GWB nachgebildet.”'” Die Erforderlichkeit 
des Auskunftsverlangens dient dort dazu, die Wettbewerbsbehörde in ihrer 
Sachverhaltsermittlung auf spezifisches Missbrauchsverhalten von Unterneh- 
men zu begrenzen. Das Auskunftsverlangen knüpft an das konkrete kartell- 
rechtswidrige Verhalten von Wettbewerbsunternehmen im Einzelfall an.” Die 
Aufklärung eines Sachverhalts ist auf Grundlage eines schlüssigen Ermitt- 
lungskonzepts zu betreiben.’ Von einer allgemeinen und anlasslosen Informa- 
tionsbefugnis ist im Kartellrecht abgesehen worden, weil die unspezifische und 
abstrakte Gefahr wettbewerbswidrigen Unternehmensverhaltens eine solche 
nicht zu rechtfertigen vermag.” Für eine Tätigkeit der Behörde müssen verifi- 
zierbare Anhaltspunkte für einen Verstoß vorliegen, die einen gewissen An- 
fangsverdacht begründen, um anlass- und einzelfallbezogene Maßnahmen im 
Regelungsbereich treffen zu können.” 

Die im Rahmen von $ 59 GWB entwickelten Kriterien lassen sich grundsätz- 
lich auf die Auslegung der telekommunikationsrechtlichen Auskunftsanord- 
nungen übertragen. Allerdings kann sich aus der funktionellen Abgrenzung des 
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Regulierungsrechts zum Kartellrechts insbesondere vor dem Hintergrund des 
Wissensbedarfs der Bundesnetzagentur ein abweichendes Verständnis der Aus- 
kunftsbefugnis ergeben.” Ein struktureller Unterschied kann darin gesehen 
werden, dass die Wettbewerbsaufsicht prinzipiell negatorisch-defensiv ausge- 
richtet ist, da sie an ein konkretes wettbewerbswidriges Verhalten individueller 
Wettbewerbsunternehmen anknüpft, wohingegen zu den Aufgaben der Regulie- 
rung gezählt werden kann, gestaltende Entscheidungen zur Erreichung sektor- 
spezifischer Regulierungsziele zu treffen.” Anders als das wettbewerbsbezo- 
gene Gefahrenabwehrrecht sei das telekommunikationsrechtliche Regulie- 
rungsrecht auch eine „Marktverhaltens- und Marktstrukturregulierung, also 
eine steuernde interventionistische Einflussnahme auf privatwirtschaftliche 
Tätigkeit zur Verfolgung und Sicherstellung von Gemeinwohlbelangen“.”‘ Die 
Marktregulierung gehe in weiten Teilen von einem Konzept aktiver Markt- 
begleitung und „nicht nur punktueller Marktinterventionen“ aus und sei durch 
die Merkmale pro-aktives Vorgehen, finale Steuerung bzw. weitreichende Nor- 
mierungsaufgaben, Multipolarität des Interessenfeldes und Zeitabhängigkeit 
gekennzeichnet.” Regulierungsentscheidungen seien insoweit besonders mit 
den Bedingungen von Variation, Komplexität und Ungewissheit konfrontiert.’ 
Dies spricht dafür, die Dogmatik der Sachverhaltsermittlung im Kartellrecht 
nicht gänzlich auf das Regulierungsrecht zu übertragen und daher funktionell 
abzugrenzen.” 

Allerdings ist zweifelhaft, ob die Aufwertung der Wissensgenerierung im 
Regulierungsrecht und damit im Rahmen der Auskunftsbefugnis in $ 127 TKG 
auch innerhalb des TKG und somit auch im Rahmen von $ 115 Abs. 1S.2 TKG 
vorgenommen werden kann. 
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Zwar ist auch der Gegenstandsbereich der Gewährleistung der Netz- und In- 
formationssicherheit von einer hohen dynamischen Komplexität geprägt, die 
prinzipiell eine adäquate Produktion des administrativen Entscheidungswis- 
sens erfordert. Dennoch ist der Teil 7 des TKG, anders als der Bereich der 
Marktregulierung, nicht durch Befugnisse zur Ex-ante-Regulierung gekenn- 
zeichnet, denen ein prognostischer Charakter zugeschrieben werden kann. An- 
ders als etwa in der Zugangs- und Entgeltregulierung, in der Regulierungsver- 
fügungen Ausdruck einer gesetzlich ausgeformten Gestaltungsfreiheit sind, die 
sich auf die Verwirklichung des gesetzlichen Regulierungsauftrags und die pro- 
spektive Bewältigung der damit zusammenhängenden Probleme erstreckt,’ 
findet sich in den die Netz- und Informationssicherheit betreffenden Vorschrif- 
ten $ 109 und $ 109a TKG kein Anknüpfungspunkt für die Annahme eines ge- 
stalterischen Auftrags der Bundesnetzagentur zur Sicherheitsgewährleistung. 
Die Bundesnetzagentur „überprüft“ (§ 109 Abs. 4 S.7 TKG), ihr sind Beein- 
trächtigungen „mitzuteilen“ (§ 109 Abs. 5 S. 1, vgl. § 109a Abs. 1 S. 1 TKG), sie 
kann einen detaillierten Bericht „verlangen“ ($ 109 Abs. 5, vgl. § 109a Abs. 1 
S.4 TKG), sie „leitet weiter“ (§ 109 Abs. 5 S.5 TKG), sie kann „unterrichten“ 
oder „auffordern“ ($ 109 Abs. 5 S.6 und 7 TKG), sie „legt vor“ ($ 109 Abs. 5 
S. 9 TKG) oder sie kann „anordnen“ ($ 109 Abs. 7 S. 1 TKG). Soweit die Sicher- 
heit am Stand der Technik zu messen ist ($ 109 Abs. 1 S.2 TKG) hat die Bun- 
desnetzagentur auf die Ausfüllung dieses Maßstabs keinen bestimmenden Ein- 
fluss. Proaktiv geht die Bundesnetzagentur im Einvernehmen mit dem BSI bei 
der Erstellung des Sicherheitskatalogs vor ($ 109 Abs. 6 S. 1 TKG). Allerdings 
ist dies keine Regelung, auf die ein dazu in Relation stehendes Auskunftsverlan- 
gen auf Grundlage von $ 115 Abs. 1S.2 TKG gerichtet sein kann, da sich § 115 
Abs. 1 S. 1 TKG auf die „Einhaltung der Vorschriften“ bezieht und nicht etwa 
auf die Vorbereitung der der Bundesnetzagentur obliegenden Aufgaben. 

Die genannten Rechtsfolgen weisen auch keine finalen Steuerungskomponen- 
ten aus. Über das allgemeine Regulierungsziel der Wahrung der Interessen der 
öffentlichen Sicherheit in § 2 Abs. 2 Nr. 9 TKG hinaus besteht keine Program- 
mierung zur Verwirklichung näher spezifizierter Zielbestimmungen (vgl. dage- 
gen § 21 Abs. 1S.2 oder § 27 Abs. 2 S. 2 TKG). 

Auch wenn die Bundesnetzagentur in sicherheitsbezogenen Entscheidungen 
immer auch die Interessen der Nutzer zu berücksichtigen hat, ergibt sich dadurch 
in dem Sinne keine komplexe Entscheidungssituation, weil die Rechtsfolgen we- 
nig generalisiert gefasst sind. Eine näher spezifizierte Pflicht zur regelmäßigen 
Beobachtung zur Revision einmal getroffener Entscheidungen besteht ebenfalls 
nicht. Gemäß § 109 Abs. 4 S. 6 TKG überprüft die Bundesnetzagentur zwar re- 


330 Mit Bezug auf § 9 Abs. 2 und 13 Abs. 1 und 3 TKG BVerwG, NVwZ 2008, 575 (577). 
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gelmäßig die Umsetzung des Sicherheitskonzepts. Ein besonderer fortlaufender 
Informationsbedarf über das Erforderliche hinaus ergibt sich daraus nicht. 

Als weiterer begrenzender Punkt für die Interpretation der Erforderlichkeit 
ist heranzuziehen, dass $ 115 Abs. 1 S.1 TKG bezweckt, die Einhaltung der 
Vorschriften „sicherzustellen“. Dem Wortlaut nach ist der mittelbare Zweck des 
Auskunftsverlangen in $ 115 Abs. 1 S.2 TKG enger gefasst als nach $ 127 
Abs. 1 S. 1 TKG, wo es dem „Vollzug dieses Gesetzes‘ dient. Der Vollzug geht 
weiter und knüpft an die Erfüllung der der Bundesnetzagentur übertragenen 
Aufgaben an.?! Die Befugnis zum Sicherstellen knüpft gedanklich an einen 
Verstoß gegen eine Vorschrift an.” Die Auskünfte beziehen sich dann auf die 
einzelfallbezogene Überprüfung im Rahmen einer Befolgungskontrolle, sodass 
ein allgemeiner, „permanenter Informationsfluss“, etwa über IT-Sicherheits- 
vorfälle, auf Grundlage von $ 115 Abs. 1 S.2 nicht institutionalisiert werden 
kann.’ Die Informationsbefugnis stellt durch die Voraussetzung, die Einhal- 
tung sicherzustellen, gerade keine „Dachkompetenz“ dar, die zur generellen 
Überwachung von Telekommunikationsunternehmen ermächtigt. Es muss der 
Bundesnetzagentur um Kontrolle und Durchsetzung gehen.?* 

Nach alldem ist das Merkmal der Erforderlichkeit im Sinne des Charakters 
von $ 115 TKG als Überwachsnorm auszulegen. Dogmatisch ist das Merkmal 
der Erforderlichkeit nur eine Voraussetzung der Prüfung der Verhältnismäßig- 
keit. Gleichwohl setzt es voraus, dass das Auskunftsverlangen geeignet ist.” 
Unzulässig ist jedenfalls eine Datenabfrage, wenn bereits aus Ex-ante-Sicht 
feststeht, dass Daten unter keinem Gesichtspunkt für den zugrundeliegenden 
Zweck Bedeutung haben können.” Bedeutung hat eine Information, wenn sie 
zur Beantwortung bestimmter, sachlich eingrenzbarer Fragen im Zusammen- 
hang mit der Einhaltungsüberwachung dienen kann. 

Im Ergebnis kann die Informationsbefugnis aus $ 115 Abs. 1 S.2 TKG als 
Instrument verstanden werden, das dazu dient, ein umfassendes Basiswissen 
für eine behördliche Überwachungspraxis zu generieren. Einen Beitrag in der 
Sicherheitsgewährleistung unterhalb der Gefahrenschwelle leistet die Überwa- 


31 Meyer-Sebastian, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, $ 127, Rn. 11. 

32 Vgl. Graulich, in: Arndt/Fetzer/Scherer/ders. (Hrsg.), TKG, 2. Aufl. 2015, $ 115, Rn. 4. 

33 So im Ergebnis, allerdings ohne nähere Begründung, Sonntag, IT-Sicherheit kritischer 
Infrastrukturen, 2002, S. 189. 

34 OVG Münster, MMR 2015, 209 (209). 

35 Vgl. mit Bezug zum kartellrechtlichen Auskunftsverlangen KG, WuW/E OLG 3721 
(3722). 

36 BGHZ 172, 368 (382). 
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chungstätigkeit reflexartig zudem durch die durch mögliche Anordnungs- und 
Auskunftsverlangen stimulierte Compliance mit den Sicherheitspflichten.??’ 


b) Informationelle Generalbefugnis 


Da sich $ 127 TKG auf das ganze Gesetz einschließlich des sicherheitsbezoge- 
nen Teils 7 des TKG, für den mit $ 115 TKG die soeben behandelte spezielle 
Informationsbefugnis besteht, bezieht, ist klärungsbedürftig, ob der General- 
befugnis darüber hinaus Bedeutung für die sicherheitsverwaltungsrechtliche 
Informationsgenerierung zukommt. 

Zunächst weist $ 127 TKG Elemente ökonomischer Regulierung auf. Der in 
8 127 Abs. 1 S.2 Nr. 1 bis 7 TKG aufgelistete Katalog an Regelbeispielen und 
die in Abs. 2 aufgezählten Gegenstände von Auskunfts- und Einsichtsbefugnis- 
sen beziehen sich auf wirtschaftliche und marktspezifische Informationen. Bei 
Hinzuziehung des zugrundeliegenden Unionsrechts erscheint $ 127 Abs. 1 TKG 
dagegen als zweckneutrale Informationsbefugnis. In Art. 11 Abs. 1 UAbs. I RL 
2002/20/EG heißt es zwar, dass die Behörde „nur“ die Informationen für die in 
dem Artikel nachfolgend aufgeführten Zwecke verlangen darf. Diese weisen 
keinen Bezug zu sicherheitsrechtlichen Regelungen auf. Der begrenzende Wort- 
laut deutet auf einen abschließenden Charakter der Regelung hin. Die Regelung 
steht allerdings „unbeschadet anderer nationaler Berichts- und Informations- 
pflichten“. Da sich aus der Richtlinienüberarbeitung in den sicherheitsrechtli- 
chen Artikeln 13a und 13b RL 2009/140/EG keine weiterführenden Aussagen 
ergeben, ist kein durchgreifender Einwand dagegen ersichtlich, die General- 
klausel nicht als nationale Informationspflicht anzusehen, die nur in tatbestand- 
lichen Konstellationen greift, die sich in der herkömmlichen Wirtschaftsauf- 
sicht, in regulierungsverwaltungsrechtlichen Aufgabenstellungen und der blo- 
Ben Rechtsaufsicht erschöpfen. Die Informationsbefugnis zur Abdeckung des 
sicherheitsverwaltungsrechtlichen Informationsbedarfs heranzuziehen, ist je- 
denfalls nicht von vorneherein ausgeschlossen. 

Wird zur Bestimmung der Reichweite der Informationsbefugnis das allge- 
meine Regulierungsziel der Wahrung der Interessen der öffentlichen Sicherheit 
in § 2 Abs. 2 Nr. 9 TKG herangezogen, zeichnet sich durchaus eine akzessori- 
sche Bedeutung der Vorschrift zur Gewinnung von sicherheitsrelevanten Infor- 
mationen ab. Gegen eine Akzessorietät der Generalbefugnis spricht aber, dass 
die formulierten Regulierungsziele von vorneherein zu abstrakt sind, als dass 
sie eine hinreichend bestimmte und verhältnismäßige Grundlage für Informati- 
onseingriffe zur Verfügung stellen könnten. Zur Rechtfertigung von Grund- 


337 Berliner, Informationsbefugnisse der Bundesnetzagentur im Telekommunikationsrecht, 


2012, S. 49. 


D. Rechtsgrundlagen zur Generierung von Informationen 121 


rechtseingriffen kann das bloße Hinzuziehen einer Zieldefinition nicht genü- 
gen.”® Andererseits darf der Gesetzgeber „bei der Ordnung von Massenerschei- 
nungen“ auch „generalisierende, typisierende und pauschalisierende Regelungen 
verwenden“ und vor diesem Hintergrund von einem Gesamtbild ausgehen, „das 
sich aus den vorliegenden Erfahrungen ergibt‘“.’” Mit den Informationsbefug- 
nissen zur Abfrage des allgemeinen Sicherheitszustands ($ 109 Abs. 4 TKG) 
und zur Sicherstellung der Einhaltung von Sicherheitspflichten ($ 115 Abs. 1 
TKG) hat der Gesetzgeber jedoch informationsverwaltungsrechtliche Tatbe- 
stände in Anwendungsbereich der Netz- und Informationssicherheit geschaffen, 
die auf den Ausgleich typischer allgemeiner Wissensdefizite auf Seiten der Si- 
cherheitsbehörde zielen. Ein Rückgriff auf die Auskunftsbefugnis des $ 127 
TKG ist damit ausgeschlossen.”* 

Für das Informationsverwaltungsrecht im Bereich der Netz- und Informa- 
tionssicherheit kommt der informationellen Generalbefugnis demnach grund- 
sätzlich keine weitergehende Bedeutung zu. 


3. Nachrichtendienstliche Instrumente zur Informationsgewinnung 


Die nachrichtendienstlichen Informationsbefugnisse des Bundesnachrichten- 
dienstes (a) sowie des Bundesamtes für Verfassungsschutz (b) zum Erkennen 
von Cybergefahren zeichnen sich durch die Möglichkeit der Anwendung ver- 
deckter und damit zumeist unbekannter nachrichtendienstlicher Mittel aus. Den 
besonderen Auskunftsverlangen der Nachrichtendienste gegenüber Telekom- 
munikationsunternehmen und Telemediendiensteanbietern kommt lediglich 
eine untergeordnete Bedeutung in der Generierung von sicherheitsrelevanten 
Informationen zu (c). 


a) Überwachung des Internetdatenverkehrs zur Erkennung von Cybergefahren 


Der Bundesnachrichtendienst darf internationale Telekommunikationsbezie- 
hungen, die von Art. 10 GG geschützt sind, strategisch beschränken, um Cyber- 
gefahren rechtzeitig zu erkennen (aa). Zu Erfüllung dieser Aufgabe kann er in 
weit größeren Umfang Internetdatenverkehr im Rahmen der Ausland-Ausland- 
Fernmeldeaufklärung überwachen (bb). 


38 HolznagellSchulz, MMR 2002, 364 (366); Badura, in: ders./von Danwitz/Herdegen/ 
Sedemund/Stern (Hrsg.), BeckPostG, 2. Aufl. 2004, § 45 Rn. 16. 

39 BVerfGE 100, 230 (236). 

340 Im Ergebnis auch Eckhardt, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, 
§ 115, Rn. 7; Meyer-Sebastian, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, $ 127, 
Rn. 15; zur Idealkonkurrenz zu Auskunftsverlangen mit anderer Zweckrichtung OVG NRW, 
MMR 2011, 698 (699). 
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aa) Strategische Fernmeldeaufklärung 


Im Rahmen der Fernmeldeaufklärung kommen § 3 G10 für Beschränkungs- 
maßnahmen in Einzelfällen (Individualmaßnahmen) und § 5 G10 für strategi- 
sche Beschränkungen der Informationsbefugnisse in Betracht. Die Normen 
weisen sowohl Aufgaben als auch Objekte der Maßnahmen zu, sie sind aber 
zugleich Eingriffstatbestände zur Erhebung von Telekommunikationsverkehrs- 
daten. 

Im Rahmen der Individualmaßnahmen können deutsche Verfassungsschutz- 
behörden und Nachrichtendienste nach $3 Abs. 1 S. 1 Nr. 8 G10 gezielte Be- 
schränkungen von Art. 10 GG anordnen, wenn tatsächliche Anhaltspunkte da- 
für bestehen, dass jemand Straftaten nach §§ 202a, 202b und 303a, 303b StGB 
plant. Beim Ausspähen und Abfangen von Daten sowie bei Datenveränderung 
und Datensabotage handelt es sich um das sog. Cyberstrafrecht, also um Delik- 
te mit Computer- und Internetbezug.°*' Eingeschränkt wird die Befugnis durch 
die Verweisung auf $ 1 Abs. 1 Nr. 1 G10 und durch die Voraussetzung, dass die 
Befugnis nur Straftaten betrifft, die gegen die innere und äußere Sicherheit ge- 
richtet sind, insbesondere gegen sicherheitsempfindliche Stellen von lebens- 
wichtigen Einrichtungen. Insofern findet sich in der Norm der objektivierte 
Ausdruck des Gewichts der Schutzgüter.”* Damit zielt die Befugnis auf mögli- 
che Angriffsziele wie Betreiber von kritischen Infrastrukturen und (kritischen) 
Telekommunikationsunternehmen.’® Die allgemeine Verweisung auf die Vor- 
aussetzungen des $ 1 Abs. I Nr. 1 verdeutlicht, dass es bei dieser Befugnis um 
die Abwehr von drohenden Gefahren im Vorfeld akuter Krisenlagen geht und 
nicht originär um Strafverfolgung. 

Weitergehende Befugnisse zur Sammlung von Informationen über Sachver- 
halte und Gefahrenbereiche sowie der Begegnung solcher Gefahren ergeben sich 
für die strategische Fernmeldeüberwachung. Diese obliegt dem Bundesnach- 
richtendienst. Ziel der strategischen Überwachung „internationaler Kommuni- 
kationsbeziehungen“ ist es, Gefahren „rechtzeitig zu erkennen und einer solchen 
Gefahr zu begegnen“, $ 5 Abs. 1 S.3 G10. Weder ist ein konkreter Tatverdacht 
noch eine Gefahr erforderlich.’ Letztlich reicht eine (nahezu immer gegebene 
und kaum konturierte) allgemeine Bedrohungslage aus, weshalb eine permanen- 


341 Zum europäischen und internationalen Rechtsrahmen Reindl-Krauskopf, ZaöRV 2014, 
563 ff. 

342 Nach BVerfGE 126, 260 (329) muss die Qualifizierung einer Straftat als schwer in der 
Strafnorm einen objektivierten Ausdruck finden. 

343 Gesetzentwurf der Bundesregierung, Entwurf eines Gesetzes zur Verbesserung der 
Zusammenarbeit im Bereich des Verfassungsschutzes, Bearbeitungsstand 25.03.2015, Be- 
gründung, S. 43 f. 

344 Vgl. BVerfGE 100, 313 (383). 
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te Überwachung stattfinden kann.’* Die technische Fernmeldeaufklärung zur 
Abwehr von Cyberbedrohungen wird nachrichtendienstlich als „SIGINT Sup- 
port to Cyber Defense“ (SSCD) bezeichnet.” Cyberbedrohungen werden mit- 
tels technischer Aufklärungsmethodik erkannt, wobei der Aufklärungsansatz in 
der Suche nach Schadsoftware mit SIGINT-Methoden besteht. SIGINT (Signals 
Intelligence) bezeichnet die Form der technischen Fernmeldeaufklärung,’*”’ 
durch die Kommunikationsströme aufgeklärt werden. Konkret ist darunter zu 
verstehen, dass Datenpakete der Datenströme untersucht werden. 

Zulässige Aufklärungsziele strategischer Beschränkungen und bestimmte Ge- 
fahrenbereiche werden in § 5 Abs. 1 S. 3 G10 benannt und aufgezählt. Der 2016 
in Kraft getretene $ 5 Abs. 1 S. 3 Nr. 8 G10 erweitert die Beschränkungsmöglich- 
keiten des internationalen Telekommunikationsverkehrs um Cybergefahren. Die 
in Abs. 1 S. 3 Nr. 1 bis 7 aufgezählten Bereiche würden sich „im Hinblick auf die 
neuen Gefahren des Cyberraums als defizitär“ erweisen, sodass eine gesetzliche 
Befugnis zur Aufklärung schadbehafteter internationaler Telekommunikations- 
verkehre einzuräumen sei." Unter dieser Kategorie sind Gefahren des „inter- 
nationalen kriminellen, terroristischen oder staatlichen Angriffs mittels Schad- 
programmen oder vergleichbaren schädlich wirkenden informationstechnischen 
Mitteln auf die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen in 
Fällen von erheblicher Bedeutung mit Bezug zur Bundesrepublik Deutschland“ 
zu verstehen. Eine Legaldefinition des Begriffs des Schadprogramms findet sich 
in § 2 Abs. 5 BSIG. Darunter sind Programme und sonstige informationstechni- 
sche Routinen und Verfahren zu verstehen, die dem Zweck dienen, unbefugt 
Daten zu nutzen oder zu löschen, oder die dem Zweck dienen, unbefugt auf son- 
stige informationstechnische Abläufe einzuwirken. 

Die Erweiterung um eine cyberbezogene Gefahrbestimmung ermöglicht die 
Überwachung des Datenverkehrs, um Cyberangriffe in Gestalt von Cyberspio- 
nage, Cyberausspähung oder Cybersabotage insbesondere gegen kritische In- 
frastrukturen zu erfassen und letztere dadurch zu härten. Da § 5 Abs. 1 S.3 
Nr. 8 auch Angriffe mit informationstechnischen Mitteln auf die Vertraulich- 
keit, Integrität oder Verfügbarkeit von IT-Systemen, die eine mit Schadpro- 


345 Bäcker, K&R 2014, 556 (557). 

346 Schindler, Wirtschaftsschutz — Strategien und Herausforderungen für den Bundes- 
nachrichtendienst, Rede des BND-Präsidenten anlässlich des 11. Symposiums des Bundes- 
amtes für Verfassungsschutz am 8. Mai 2014, online abrufbar. 

39° Damit werden im nachrichtendienstlichen Sprachgebrauch die Fernmeldeaufklärung 
und die (sonstige) elektronische Aufklärung bezeichnet. Siehe dazu Ferris, Signals Intelli- 
gence in War and Power Politics, in: Johnson (Hrsg.), The Oxford Handbook of National Se- 
curity Intelligence, 2010, S. 155 ff. 
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grammen vergleichbare Wirkung haben, erfasst, können auch Verfügbarkeits- 
angriffe gegen IT-Systeme wie Denial-of-Service-Attacken, Man-in-the- 
Middle-Angriffe via DNS-Spoofing, Angriffe auf IT-Systeme unter Umgehung 
von physikalischen Grenzen (Abzug von Informationen von Systemen, die nicht 
an einem Netzwerk angebunden sind, unter Ausnutzung etwa der Abstrahlung) 
oder auch Hardwaremanipulationen von Netzwerkgeräten aufgeklärt werden.” 
Die Gesetzesbegründung führt dazu aus, dass die Erweiterung des $5 Abs. 1 
S. 3 G10 um eine Nr. 8 den Bundesnachrichtendienst in die Lage versetzen soll, 
„die technisch (nur) durch ihn generierbaren Erkenntnisse zur Cyber- 
Bedrohungslage und -Abwehr beizusteuern.‘“" 

Gegenstand der strategischen Überwachung sind internationale Kommuni- 
kationsbeziehungen, soweit eine gebündelte Übertragung erfolgt. Erfasst ist 
auch die leitungsgebundene Telekommunikation.”! In der Anordnung der Be- 
schränkungsmaßnahme, für die nach $ 10 G10 das Bundesministerium des In- 
nern zuständig ist, sind die Übertragungswege, die der Beschränkung unterlie- 
gen, zu bezeichnen. 

Das limitierende Tatbestandsmerkmal der „internationalen Kommunikati- 
onsbeziehungen“ in § 5 Abs. 1 S. 1 G10 ist allerdings problematisch. Die Ein- 
grenzung entspricht an sich der Begrenzung der Aufgabe des Bundesnachrich- 
tendienstes auf die Auslandsaufklärung.°” Für die Internetkommunikation ist 
allerdings schon aufgrund der technischen Bedingungen fragwürdig, ob dieses 
Kriterium operabel ist. Naheliegend ist eine Auslegung des Merkmals, die auf 
den Ort der Kommunikationspartner abstellt. Ein internationaler Telekommuni- 
kationsverkehr läge vor, wenn mindestens einer der Teilnehmer die Kommuni- 
kation im Ausland empfängt oder absendet. Denkbar ist dagegen auch, dass die 
Inlandskommunikation über das Ausland realisiert wird, weil die Diensteanbie- 
ter im Ausland operieren oder weil sie die Kommunikation über Netzinfra- 
struktur im Ausland abwickeln. Diese Auslegung würde den Umstand berück- 
sichtigen, dass der Datenverkehr im Internet entlang technischer und ökonomi- 
scher Parameter verläuft, nicht entlang nationaler Grenzen im Sinne eines 
nationalen Routings. Es soll der Staats- und Verwaltungspraxis entsprechen, 
das Tatbestandsmerkmal restriktiv auszulegen, wobei teilweise dennoch davon 
ausgegangen wird, dass im Rahmen der Fernmeldeaufklärung Telekommunika- 
tionsdaten erhoben werden, ohne dass sie sich auf die Ermächtigungen des G10 


34 BT-Drs. 18/4654, S. 41. 

350 BT-Drs. 18/4654, S. 41. 

31 Vgl. BVerfGE 100, 313 (376 ff). 

352 Huber, in: Schenke/Graulich/Ruthig (Hrsg.), Sicherheitsrecht des Bundes, 2014, G 10, 
$5,Rn.2. 
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stützen.’ Jedenfalls erfasst das Merkmal Kommunikationsbeziehungen, die 
von Ausländern im Ausland realisiert werden. 

Der Bundesnachrichtendienst hat gemäß § 27 Abs.2 Telekommunikations- 
Überwachungsverordnung (TKÜV) zunächst Zugriff auf eine vollständige 
Kopie der Telekommunikation (sog. Full-Take-Ansatz),’>* die gemäß $ 2 Abs. 1 
S.3 G10 von den infrage kommenden Telekommunikationsdienstleistern an 
Übergabepunkten (beispielsweise am größten Internetknoten der Welt, DE- 
CIX in Frankfurt am Main) oder über eigene Einrichtungen ohne deren Mitwir- 
kung ($ 10 Abs. 6 S. 1 G10) bereitgestellt wird. 

Eine Obergrenze für die Überwachung enthalten $ 10 Abs. 4 S. 3 und 4 G10. 
Bei Anordnung einer strategischen Beschränkungsmaßnahme darf nur ein An- 
teil von höchstens 20% der zur Verfügung stehenden Übertragungskapazität 
des betreffenden Übertragungsweges überwacht werden. Zum einen soll durch 
diese Begrenzung einer lückenlosen Überwachung bestimmter Telekommuni- 
kationsbeziehungen vorgebeugt werden, zum anderen soll sie sicherstellen, dass 
der Ermächtigungserweiterung auf den leitungsgebundenen Telekommunika- 
tionsverkehr Rechnung getragen wird.° Die Telekommunikationsinhalte sind 
unverzüglich darauf zu überprüfen, ob sie für die Erfüllung der Zwecke nach 
85 Abs. 1 S.3 G10 relevant sind. Andernfalls sind sie unverzüglich protokol- 
liert zu löschen. 

Für die über das Internet übermittelte Kommunikation ist die Begrenzung 
der Überwachung problematisch, da die Übertragungswege so angelegt sind, 
dass die maximale Übertragungskapazität möglichst nicht ausgeschöpft wird. 
Die maximale Übertragungskapazität des DE-CIX beträgt 18 Tbit/s, wobei 2015 
der Rekord der Spitzenauslastung bei 5,1 Tbit/s lag.” Wenn die Norm in der 
Praxis so ausgelegt wird, dass die Übertragungskapazität maßgeblich ist,’ 
dann dürfte die Begrenzungswirkung der 20-%-Regelung de facto sehr gering 


353 Siehe dazu Bäcker, Erhebung, Bevorratung und Übermittlung von Telekommunika- 
tionsdaten durch die Nachrichtendienste des Bundes, Stellungnahme zur Anhörung des 
NSA-Untersuchungsausschusses am 22.5.2014, unter IV. 1. mit Verweis auf die Stellungnah- 
me der Bunderegierung in BVerfGE 100, 313 (337, 380) und auf die Gesetzesbegründung zur 
Änderung des G10 in BT-Drs. 14/5655, S. 18; Papier, NVwZ-Extra 2016, 1 (2); zur damit 
verbundenen Problematik, dass weder verfassungsrechtliche Restriktionen noch die in $5 
G10 Anwendung finden, sogleich im Rahmen der Überwachung der Ausland-Ausland-Tele- 
kommunikation. 

354 BT-Drs. 17/9640, S. 4. 

35 Huber, in: Schenke/Graulich/Ruthig (Hrsg.), Sicherheitsrecht des Bundes, 2014, G10, 
$ 10, Rn. 10; BT-Drs. 14/5655, S. 18. 

356 DE-CIX, Quick facts, abrufbar unter: https://www.de-cix.net/about/quick-facts/. 

37 BT-Drs. 17/14739, S. 14. 
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sein.” Eine weniger strenge Auslegung führt dazu, dass die Begrenzung erst 
nach der Vorabselektion des inländischen Telekommunikationsverkehrs greift. 
Bei strenger Auslegung müsste das Höchstmaß am gemessenen Datenstrom be- 
messen werden. Der Umfang der Überwachung bestimmt sich formell nach der 
Anordnung des Bundesministeriums des Innern, die es auf Antrag des Bundes- 
nachrichtendienstes mit Zustimmung der G10-Kommission erlässt ($ 5 Abs. 1 
S. 1 und 2, $ 10 Abs. 1 G10). Dabei legt das Bundesministerium auch die Selek- 
toren fest, auf die die Kommunikation durchsucht werden darf (§ 10 Abs. 4 S. 1 
G10). 

Die Befugnis zur strategischen Fernmeldekontrolle erlaubt die systematische 
Untersuchung des Internetdatenverkehrs auf Gefahren für die Netz- und Infor- 
mationssicherheit mit erheblicher Bedeutung mit Bezug zur Bundesrepublik 
Deutschland. Die Effektivität dieser Befugnis bemisst sich in der Sache neben 
der Kapazitätsbegrenzung weitgehend nach den technischen Fähigkeiten zur 
Analyse großer Datenmengen auf schädliche Programme und netzbasierte An- 
griffe. Die gewonnenen Erkenntnisse können für die Sicherheitsgewährleistung 
im Rahmen des Informationsaustausches im Nationalen Cyber-Abwehrzen- 
trum, an dem das BSI beteiligt ist, von Nutzen sein.” 


bb) Überwachung der Ausland-Ausland-Telekommunikation 


Eine weitergehende Befugnis zur Generierung von Informationen über Gefah- 
ren für die Netz- und Informationssicherheit besteht im BNDG. Mit dem 2017 in 
Kraft getretenen § 6 BNDG ist eine ausdrückliche Grundlage für die sog. Aus- 
land-Ausland-Fernmeldeaufklärung geschaffen worden. 

Nach § 6 Abs. 1 BNDG darf der Bundesnachrichtendienst zur Erfüllung sei- 
ner gemäß § 1 Abs. 2 S. 1 BNDG auslandsbezogenen Aufgaben vom Inland aus 
Informationen einschließlich personenbezogener Daten mit technischen Mitteln 
aus Telekommunikationsnetzen erheben und verarbeiten, wenn diese Daten da- 
für erforderlich sind, frühzeitig Gefahren für die innere oder äußere Sicherheit 
der Bundesrepublik Deutschland zu erkennen und diesen begegnen zu können 
(Nr. 1), um die Handlungsfähigkeit der Bundesrepublik Deutschland zu wahren 
(Nr. 2) oder um sonstige Erkenntnisse von außen- und sicherheitspolitischer Be- 
deutung zu gewinnen (Nr. 3). Eine Erforderlichkeit zur Gewinnung von sonsti- 
gen Erkenntnissen kann im Rahmen von Nr. 3 angenommen werden, wenn die 
Aufklärungstätigkeit im Einklang mit dem sog. Auftragsprofil der Bundesre- 
gierung (APB) steht, das das Bundeskanzleramt im Einvernehmen mit den zu- 


358 Vgl. aber BVerwG, NVwZ 2014, 1666 (1669). 
359 Siehe § 4 B. I. 2. c) (aa) (D). 
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ständigen Bundesministerien festgelegt.”° Da auch das Bundesministerium des 
Innern zuständig ist, das wiederum gemäß $ 1 S.2 BSIG dem BSI übersteht, 
können hier Erkenntnisdefizite beim BSI im Rahmen des Einvernehmens Be- 
rücksichtigung finden. 

Für die sog. Ausland-Ausland-Fernmeldeaufklärung gilt gemäß $7 BNDG 
insbesondere der $ 6 Abs. 1 S. 1 entsprechend. 

Die Informationsgenerierung erfolgt bei dieser Fernmeldeaufklärung aus Te- 
lekommunikationsnetzen. Die Anordnungen zur Fernmeldeaufklärung richten 
sich folglich nicht gegen bestimmte einzelne Leitungswege, sondern auf Tele- 
kommunikationsnetze in ihrer Gesamtheit. Der Begriff bezieht sich auf die tele- 
kommunikationsrechtliche Definition in Art. 2 lit. a RL 2002/21 /EG bzw. § 3 
Nr. 27 TKG, die „die Gesamtheit von Übertragungssystemen [...] einschließlich 
des Internets“ erfasst. Anders als bei der strategischen Fernmeldeaufklärung 
nach dem G10 sind daher in der Anordnung im Sinne von $ 6 Abs. 1S.2 BNDG, 
d.h. in der Bestimmung der zu überwachenden Telekommunikationsnetze, nicht 
die der Beschränkung unterliegenden Übertragungswege zu bezeichnen. In 
praktischer Hinsicht kann die Ausleitung von Telekommunikationsverkehren 
grundsätzlich an einer beliebigen Stelle eines Telekommunikationsnetzes erfol- 
gen.°°! In Betracht kommen die wichtigen Backbone-Leitungen der großen Tele- 
kommunikationsnetzbetreiber, aber auch das Netz der deutschen Internetknoten. 

Aus § 6 Abs. 2 BNDG ergibt sich, dass der Bundesnachrichtendienst Inhalts- 
daten anhand von Suchbegriffen erheben darf. Insofern kommt eine Analyse 
des tieferliegenden Datenstroms in Betracht, d. h., auf Grundlage von $ 6 BNDG 
kann grundsätzlich, im Rahmen des technisch Möglichen, das gesamte Daten- 
paket auf bestimmte Merkmale analysiert werden. 

Anders als die strategische Fernmeldeaufklärung nach dem G10 besteht für 
die Ausland-Ausland-Fernmeldeaufklärung keine besondere quantitative Be- 
grenzung des Umfangs der Ausleitung von Verkehrsdaten aus einem Telekom- 
munikationsnetz. Eine Limitierung ergibt sich daher nur durch die Erforderlich- 
keit der Daten für die Aufgabenerfüllung und auf tatsächlicher Ebene durch 
begrenzte personelle, technische und finanzielle Mittel zur Durchführung et- 
waiger Maßnahmen. 

Inwiefern $ 6 BNDG in der Praxis zur Erkenntnisgewinnung beitragen wird, 
ist auch von der Frage abhängig, ob die Norm verfassungsrechtlich Bestand ha- 
ben wird.? 


360 BT-Drs. 18/9041. 

361 Die Telekommunikationsdienste haben gemäß $ 8 Abs. 1 BNDG Auskunft über die 
näheren Umstände der nach Wirksamwerden der Anordnung durchgeführten Telekommuni- 
kation zu erteilen. 

362 Dies verneint Huber, ZRP 2016, 162 (163). Das primäre Unionsrecht stellt für die Be- 
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Der Gesetzgeber geht mangels Bezeichnung im Sinne des Zitiergebots des 
Art. 19 Abs.1 S.2 GG und trotz besonderem Bezug nicht davon aus, dass 
Art. 10 GG durch die Maßnahmen aufgrund der Regelungen im BNDG einge- 
schränkt wird (vgl. § 6 Abs. 4 BNDG). Daraus lässt sich auf ein spezifisches 
Verständnis des durch Art. 10 GG geschützten Fernmeldegeheimnisses schlie- 
Ben. Der Gesetzgeber geht davon aus, dass die Ausland-Ausland-Fernmeldeauf- 
klärung keine Relevanz für das Fernmeldegeheimnis hat. In diesem Sinne ist 
auch die Auffassung des Gesetzgebers zu verstehen, nach der die Norm unge- 
achtet ihrer Ausgestaltung als Befugnis als nicht begrenzende Konkretisierung 
des gesetzlichen Auftrags der Gewinnung von Erkenntnissen über das Ausland, 
die von außen- und sicherheitspolitischer Bedeutung sind, aufzufassen ist.’® 
Nach § 6 Abs. 4 BNDG ist die Erhebung von Telekommunikationsverkehrs- 
daten von deutschen Staatsangehörigen unzulässig. Diese Regelung lässt darauf 
schließen, dass der Gesetzgeber das Fernmeldegeheimnis als Deutschen-Grund- 
recht auslegt, obwohl es dem Wortlaut nach, anders als etwa Art. 12 GG, als 
Jedermann-Grundrecht formuliert ist. Gemäß Art. 3 Abs. 1 GG sind unterschei- 
dende gesetzliche Beschränkungen grundsätzlich unzulässig. Problematisch ist 
zudem, dass gemäß § 6 Abs. 1 S.1 BNDG die Ausland-Ausland-Aufklärung 
„vom Inland aus“ durchgeführt werden kann. Aus Art. 1 Abs. 3 GG folgt, dass 
die vollziehende Gewalt vor allem auf dem Territorium der Bundesrepublik 
Deutschland der Grundrechtsbindung unterliegt. 

Aus der fehlenden Bindung an Art. 10 GG folgt, dass bei Maßnahmen auf 
Grundlage von § 6 BNDG die Beschränkungen des § 5 Abs. 2 S.2 G10 nicht 
gelten. Danach ist es verboten, Suchbegriffe in die Filterung aufzunehmen, die 
aufgrund bestimmter Merkmale zu einer gezielten Erfassung bestimmter Tele- 
kommunikationsanschlüsse führen.’° Dagegen dürfen nach § 6 Abs.3 Nr. 1 


wertung nachrichtendienstlicher Tätigkeit der Mitgliedstaaten außerhalb des Anwendungs- 
bereichs grundsätzlich keinen unmittelbaren Bewertungsmaßstab dar. Zu berücksichtigen 
ist, dass gemäß Art.4 Abs.2 S.3 EUV die nationale Sicherheit weiterhin in die alleinige 
Verantwortung der Mitgliedstaaten fällt. In den Sekundärrechtsakten bestehen im Übrigen 
regelmäßig Bereichsausnahmen für die nachrichtendienstliche Tätigkeit, vgl. Art. 2 Abs. 2 
DS-GVO, Art. 1 Abs. 3 sowie Erwägungsgrund 11 RL 2002/58/EG. 

363 Entwurf eines Gesetzes zur Ausland-Ausland-Fernmeldeaufklärung des Bundesnach- 
richtendienstes, BT-Drs. 18/9041, S. 22. 

364 Die extraterritoriale Schutzwirkung von Art. 10 Abs. 1 GG betont das Bundesverfas- 
sungsgericht ausdrücklich in BVerfGE 100, 313 (363 £.). 

365 Von diesem Verbot macht § 5 Abs. 2 S.3 G10 wiederum eine Ausnahme. Ausgenom- 
men von dem Verbot sind Telekommunikationsanschlüsse im Ausland, sofern ausgeschlos- 
sen ist, dass Anschlüsse, deren Inhaber oder regelmäßige Nutzer deutsche Staatsangehörige 
sind, gezielt erfasst werden. Darin sehen einen Verstoß gegen den Vorbehalt des Gesetzes in 
Art. 10 Abs.2 GG Huber, NJW 2013, 2572 (2574); Bäcker, K&R 2014, 556 (559); Papier, 
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BNDG Suchbegriffe auch zur gezielten Erfassung von Einrichtungen der Euro- 
päischen Union, von öffentlichen Stellen ihrer Mitgliedstaaten oder von Unions- 
bürgerinnen oder Unionsbürgern führen, wenn dies erforderlich ist, um Gefah- 
ren im Sinne des $ 5 Abs. 1 S. 3 G10, d.h. auch die in Nr. 8 genannten Angriffe 
auf die Netz- und Informationssicherheit, zu erkennen und zu begegnen. 

Als weiteres Problem sind mögliche Defizite des Filtersystems anzusehen. 
Um den Datenverkehr, der nur im Rahmen von Beschränkungsmaßnahmen 
nach dem G10 analysiert werden kann, zu separieren, setzt der Bundesnachrich- 
tendienst ein mehrstufiges automatisiertes Filtersystem ein, um den von der Er- 
fassung ausgenommenen Verkehr zu erkennen und ihn unverzüglich und un- 
wiederbringlich zu löschen.’° Zwar können kommerzielle Filtersysteme zur 
Separierung von IP-Verkehren mit Regionalbezug Filterqualitäten von 99,5 % 
erreichen, das vom Bundesnachrichtendienst selbst entwickelte System zur 
Filterung der G10-Verkehren soll aber nur eine Genauigkeit von circa 95-96 % 
erreichen.”°’ Legte man dennoch für die Filterung im Rahmen von $ 6 BNDG 
eine Genauigkeit von 95,5% oder höher zugrunde, könnte das am Netzknoten 
DE-CIX, an dem täglich mehrere Milliarden IP-Verbindungen verarbeitet wer- 
den, zu mehreren Millionen fehlerhaft erfassten Verbindungen führen, die an 
sich auf Grundlage von G10 verarbeitet werden müssten. Das aufgrund des vom 
NSA-Untersuchungsausschuss ergangenen Beweiserhebungsbeschlusses’® er- 
stellte Sachverständigengutachten zur Frage nach erprobten oder wissenschaft- 
lich anerkannten Methoden der länderübergreifenden Geolokalisierung von 
IP-Adressen bzw. IP-Datenpaketen und deren Zuverlässigkeit für eine Zuord- 
nung zum Standort Deutschland betont, dass etwaige Verfahren sich hinsicht- 
lich Genauigkeit und Aussagekraft direkt oder indirekt negativ beeinflussen 
lassen.°® 


NVwZ-Extra 2016, 1 (7; 5: „in jeder Hinsicht und offenkundig [...] unhaltbar“); aus prozes- 
sualen Gründen offengelassen in BVerfGE 100, 313 (284). 

366 BT-Drs. 18/9041, S. 24; vgl. BT-Drs. 17/9640, S. 6: „mehrstufiges Bewertungsverfah- 
ren“; BT-Drs. 17/14739, S. 14 ff. 

367 Verband der Internetwirtschaft e.V. (eco), Praktische Auswirkungen und technische 
Implikationen des Entwurfs eines Gesetzes zur Ausland-Ausland-Fernmeldeaufklärung des 
Bundesnachrichtendienstes (BT-Drs. 18/9041), Stellungnahme vom 14.10.2016, S. 7. 

368 Beweisbeschluss SV-13 vom 14. April 2016 im Rahmen des Untersuchungsauftrags 
BT-Drs. 18/843, Frage 8. 

369 Rodosek, Sachverständigengutachten zu Frage 8 des zum Beweisbeschlusses SV-13 im 
Rahmen des Untersuchungsauftrags BT-Drs. 18/843, 1. Untersuchungsausschuss der 18. Wahl- 
periode, S. 29 f.; Rechthien, Sachverständigengutachten zu Frage 8 des Beweisbeschlusses 
SV-13 im Rahmen des Untersuchungsauftrags BT-Drs. 18/843, 1. Untersuchungsausschuss 
der 18. Wahlperiode, S. 13 f. 
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Damit kann festgehalten werden, dass im Rahmen der Ausland-Ausland-Fern- 
meldeaufklärung auf Grundlage des BNDG Cybergefahren, insbesondere sol- 
che für kritische Infrastrukturen, weitreichend detektiert werden können. Insge- 
samt stellen damit §§ 6 und 7 BNDG Ermächtigungen zur Analyse des Da- 
tenstromsüber das Internet dar, die dem Bundesnachrichtendienst weitreichenden 
Handlungsspielraum eröffnet. Auf Grundlage der Norm ist es eine Frage der 
technischen Möglichkeiten, den betreffenden Ausland-Ausland-Telekommuni- 
kationsverkehr vom Datenstrom zu separieren und die darin enthaltenen Schad- 
programme oder vergleichbar schädlich wirkenden Angriffe mit informations- 
technischen Mitteln auf die Vertraulichkeit, Integrität oder Verfügbarkeit von 
IT-Systemen zu erkennen. Welche Kenntnisse gewonnen werden, richtet sich 
außerdem nach dem Auftragsprofil der Bundesregierung. Bei der Erstellung des 
Auftragsprofils können etwaige Erkenntnisdefizite beim BSI Berücksichtigung 
finden. Der Bestand von $ 6 BNDG ist mit Blick den Grundrechtskonflikt aller- 
dings noch klärungsbedürftig. 


b) Besondere nachrichtendienstliche Mittel zum Schutz kritischer 
Infrastrukturen 


Zum Schutz kritischer Infrastrukturen kann neben dem Bundesnachrichten- 
dienst das Bundesamt für Verfassungsschutz (BfV) von Informationsbefugnis- 
sen Gebrauch machen. Der Zuständigkeitsraum und das Tätigkeitsfeld des BfV 
beginnen im Vorfeld der konkreten Gefahr. Die Befugnisse, die dem BfV zur 
Erfüllung der Aufgaben zur Verfügung stehen, sind in §§ 8 ff. BVerfSchG und 
im G10 zur Überwachung der Telekommunikation niedergelegt. Informationen 
und Daten, auch personenbezogene, dürfen nach $ 8 Abs. 2 BVerfSchG mit be- 
sonderen nachrichtendienstlichen Mitteln erhoben werden.?™® Die Aufzählung 
der im Gesetz genannten Mittel ist nur beispielhaft („wie“). Sie deckt auch an- 
dere nachrichtendienstliche Mittel, deren Einsatz etwa aufgrund neuer techni- 
scher oder tatsächlicher Entwicklungen möglich oder notwendig werden 
kann.’”! Die Informationsbeschaffung darf heimlich stattfinden. Es sind in der 
Aufzählung alle Methoden erfasst, mit denen getarnt werden soll, dass das BfV 
eine Information gewinnen will.’ Voraussetzung zur Sammlung und Auswer- 
tung von Informationen ist, dass tatsächliche Anhaltspunkte vorliegen.’” So 


370 Dazu gehören der Einsatz von Vertrauensleuten und Gewährspersonen, Observatio- 
nen, Bild- und Tonaufzeichnungen, Tarnpapiere und Tarnkennzeichen. Siehe BVerfG, NJW 
2013, 1499 (1504, Rn. 117 ff.). 

371 BT-Drs. 11/4306, S. 85; Roth, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bun- 
des, 2014, BVerfSchG, $ 8 Rn. 24. 

372 BT-Drs. 11/4306, S. 61; BayVerfGH, NVwZ-RR 1998, 273 (278). 

373 Die Voraussetzung ist systemwidrig in § 4 Abs. 1 S.3 BVerfSchG geregelt, der Be- 
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könnten etwa Honeypots dann eingesetzt werden, wenn Anhaltspunkte geeig- 
net sind, einen Verdacht verfassungsfeindlicher Bestrebungen zu begründen. 
Honeypots werden in der Computersicherheit eingesetzt, um Informationen 
über Angriffsmuster und Angreiferverhalten zu erhalten. Dabei wird ein Netz- 
werkdienst oder das Verhalten eines Anwenders simuliert.””* Obwohl es sich 
dabei nur um ein vorgetäuschtes System handelt, kann jeder Zugriff darauf als 
Angriffsversuch bewertet werden. Wichtige Anhaltspunkte für Angriffe kann 
das BfV zudem indirekt generieren. Das BSI unterstützt die Verfassungsschutz- 
behörden bei der Auswertung und Bewertung von Angriffen mit terroristischem 
oder nachrichtendienstlichem Bezug ($ 3 Abs. 1 S. 2 Nr. 13 b) BSIG). Insbeson- 
dere gibt das BSI Informationen über Gefahren, potenzielle Auswirkungen und 
das Lagebild an das BfV weiter ($ 8b Abs. 2 Nr. 4 b) BSIG).?” 

Zu den nachrichtendienstlichen Maßnahmen zählt auch die heimliche Tele- 
kommunikationsüberwachung. Solche Maßnahmen haben allerdings im G10 
eine besondere und abschließende Regelung gefunden.” Als zulässiges nach- 
richtendienstliches Mittel zählt aber der heimliche Zugriff auf im Internet nicht 
öffentlich zur Verfügung stehender Daten oder der heimliche Zugriff auf infor- 
mationstechnische System, indem entsprechende Sicherheitsvorkehrungen 
überwunden werden.””’ 


c) Nachrichtendienstliche Auskunftsverlangen 


Die Nachrichtendienste können Auskunft über Bestands- und Nutzungsdaten 
(aa) und über Strukturen der Telekommunikationsdienste- und netze verlangen 
(bb). 


aa) Auskunft über Bestands- und Nutzungsdaten bei Anbietern von 
Telemediendiensten 


Eine sicherheitsrechtliche Informationsbefugnis im Telemedienrecht findet sich 
in $ 14 Abs. 2 TMG, auf dessen Grundlage Auskünfte über Bestandsdaten er- 


griffsbestimmungen vornimmt. Es handelt sich dabei aber um eine materiell-rechtliche Vor- 
aussetzung, siehe Roth, in: Schenke/Graulich/Ruthig (Hrsg.), Sicherheitsrecht des Bundes, 
2014, BVerfSchG, § 8 Rn. 21. 

374 Fraunhofer FOKUS Kompetenzzentrum Öffentliche IT: Das ÖFIT-Trendsonar der 
IT-Sicherheit — Honeynet, April 2016, S. 22. 

375 Siehe § 4 B. II. 2. c) aa). 

376 BVerfGE 120, 274 (306 ff.). 

377 Roth, in: Schenke/Graulich/Ruthig, Sicherheitsrecht des Bundes, 2014, BVerfSchG, 
§ 8 Rn. 40; BVerfGE 120, 274 (302 ff.). 
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teilt werden dürfen. Über $ 15 Abs. 5 S.4 TMG findet das Auskunftsrecht auch 
auf Nutzungsdaten Anwendung. 

§ 14 Abs. 2 TMG ist eine Erlaubnisnorm im Sinne von $ 12 Abs. 2 TMG, d.h. 
die Norm stellt selbst keine Ermächtigungsgrundlage zur Datenabfrage dar. Le- 
diglich die datenschutzrechtliche Zulässigkeit der Datenübermittlung wird si- 
chergestellt. Die Vorschrift beruht auf den Leitgedanken des unionsrechtlichen 
Datenschutzes.?’”® Darüber hinaus gibt es bis auf den Zweck der Durchsetzung 
der Rechte am geistigen Eigentum zur (vorzeitigen) Umsetzung der Enforce- 
ment-Richtlinie’”” keine europarechtliche Vorgabe. Allerdings ist sowohl nach 
der RL 2002/58/EG (Art. 15) als auch nach der DS-GVO (Art. 2, 23) eine Daten- 
verarbeitung grundsätzlich zulässig, sofern sie für die nationale Sicherheit, die 
Landesverteidigung, die öffentliche Sicherheit sowie die Verhütung, Ermitt- 
lung, Feststellung und Verfolgung von Straftaten notwendig, angemessen und 
verhältnismäßig ist. 

Eine Auskunft nach Art. 14 Abs. 2 TMG darf nur für Zwecke der Strafverfol- 
gung, der Gefahrenabwehr durch die Polizeibehörden der Länder, zur Erfüllung 
der gesetzlichen Aufgaben der Verfassungsschutzbehörden, des Bundesnach- 
richtendienstes, des Militärischen Abschirmdienstes oder des Bundeskrimi- 
nalamtes im Rahmen seiner Aufgabe zur Abwehr von Gefahren des internatio- 
nalen Terrorismus erteilt werden. Diensteanbieter wie Host-Provider dürfen 
danach auf Anordnung der zuständigen Stellen im Einzelfall Auskunft über 
diese Daten erteilen. Die Tätigkeit des BSI oder der Bundesnetzagentur fällt 
nicht unter die abschließende Aufzählung der Zwecke. °® 

Im Vorfeld der polizeilichen Gefahrenabwehr kann für die Netz- und Infor- 
mationssicherheit insbesondere die Aufgabenerweiterung des Bundesnachrich- 
tendienstes nach $ 3 Abs. 1 Nr. 8 bzw. $ 5 Abs. 1 Nr. 8 G10 im Rahmen der Fern- 
meldeaufklärung Bedeutung erlangen. Die zur Erlaubnisnorm für Dienstean- 
bieter komplementäre Ermächtigungsgrundlage des Bundesnachrichtendienstes 
findet sich in $ 2a BNDG in Verbindung mit §§ 8a, 8b BVerfSchG. Der Bundes- 
nachrichtendienst darf zur Erfüllung seiner Aufgaben nach $ 1 Abs. 2 BNDG 
Auskünfte einholen. 


378 Schreibauer, in: Auernhammer, 4. Aufl. 2014, TMG, $ 14 Rn. 2. 

37 RL 2004/48/EG. 

380 Vgl. Hornung, NJW 2015, 3334 (3338), der daraus schlussfolgert, dass nach $ 8b BSIG 
keine Befugnis zur Übermittlung an das BSI von Bestands- und Nutzungsdaten nach dem 
TMG besteht. Siehe auch Hullen/Roggenkamp, in: Plath (Hrsg.), BDSG, 2013, $ 14 Rn. 22, 
die $ 14 Abs. 2 TMG analog auch für andere Rechtsverletzungen, hier Persönlichkeitsrechts- 
verletzungen, heranziehen wollen. Eine analoge Anwendung zum Zwecke des Schutzes an- 
derer Verletzungen und Gefahren scheidet aber aus, vgl. BGH, NJW 2014, 2651 (2652 f.). 
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Allerdings kann auf Grundlage der Auskunftsbefugnis eine tiefergehende 
und systematische Datenanalyse nicht stattfinden. Ein Auskunftsverlangen ist 
nur gerechtfertigt, wenn es im Einzelfall erforderlich ist. Gegenstand eines He- 
rausgabeverlangens können außerdem nur vorhandene Bestands- und Nut- 
zungsdaten sein, die eher bei der Attribution eines Angriffs als bei der Analyse 
der Angriffsmuster und des Angreiferverhalten helfen können. Eine Daten- 
sammlungs- und Speicherpflicht für die Diensteanbieter begründet die Vor- 
schrift im Übrigen nicht.°®! 


bb) Auskunft über Strukturen der Telekommunikationsdienste und -netze 


Mit $ 114 Abs. 1 TKG besteht eine indirekte Informationsbefugnis des BND, 
die darauf zielt, Informationen über die Strukturen der Telekommunikations- 
dienste und -netze sowie bevorstehende Änderungen zu erlangen. Der konkrete 
Zweck der Unterrichtung des BND lässt sich dem Wortlaut der Vorschrift nicht 
entnehmen. Die historische Auslegung weist auf die Strukturen der eingesetz- 
ten Technik und Verfahren hin.’ Das Anfragerecht besteht demnach jedenfalls 
nur hinsichtlich der Strukturen der Telekommunikationsdienste im Sinne von 
83 Nr. 24 TKG und der Telekommunikationsnetze im Sinne von $3 Nr. 27 
TKG. Inhaltlich ist die Auskunft an die Erfüllung der Aufgaben nach den §§ 5 
und 8 G10 sowie die Maßnahmen nach den §§ 6, 12 und 14 BNDG geknüpft. 
Durch den Verweis auf § 5 G10 ist die Informationsbefugnis des BND auf ge- 
bündelte Übertragungen beschränkt und die ersuchte Information muss eine 
Bedeutung in Bezug auf internationale Kommunikationsbeziehungen haben.°® 
Dem $ 114 Abs.2 S.2 TKG lässt sich entnehmen, dass die Daten nur für den 
Zweck verwendet werden dürfen, den BND in die Lage zu versetzen, die Struk- 
tur zu verstehen, um (technische) Maßnahmen zur Cyberabwehr zu implemen- 
tieren. Eine Verwendung bei dem am zweistufigen Auskunftsverfahren betei- 
ligten Bundesministerium für Wirtschaft und Energie, etwa für die Politik- 
gestaltung, ist ausgeschlossen.°®* Insofern ist nach § 114 Abs.2 S.1 TKG 
Voraussetzung für die Zulässigkeit einer Anfrage ein entsprechendes Ersuchen 
des Bundesnachrichtendienstes. 

Die Informationsbefugnis zur Auskunft über die technischen Strukturen bei 
den Telekommunikationsunternehmen ist somit eine Voraussetzung für die Im- 
plementierung strategischer Fernmeldebeschränkungen. Über $ 114 TKG kann 
der Bundesnachrichtendienst ermitteln, an welchen Knotenpunkten etwa eine 


381 Roßnagel, NVwZ 2007, S. 743 (748). 

32 Zu § 89 TKG a.F. BT-Drs. 13/3609, S. 57. 

383 Eckhardt, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, $ 114 Rn. 6. 
384 Klesczewski, in: Säcker (Hrsg.), TKG, 3. Aufl. 2013, $ 114 Rn. 15. 
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Ausleitung des Internetdatenverkehrs technisch möglich ist und ob eine Ver- 
pflichtung der Diensteanbieter für die Durchführung einer Maßnahme in Be- 
tracht kommt. Eine unmittelbare epistemische Relevanz in der Sicherheits- 
gewährleistung kommt der Norm somit nicht zu. 


III. Übernahme verwaltungsexternen Wissens 


Die Verwaltung ist zur Produktion sicherheitsrelevanten Wissens neben der In- 
formationsgewinnung über die an Unternehmen adressierten Pflichten auf die 
kooperative Übernahme von Wissen und Expertise bei Privaten angewiesen.’®° 
Sie kann sich schon aufgrund der Geschwindigkeit der technischen Verände- 
rungen, des Erkenntnisfortschritts in der Netz- und Informationssicherheit so- 
wie der personellen und organisatorischen Möglichkeiten nicht allein auf die 
Informationsgenerierung vermittels der aufgezeigten Informationsbefugnisse 
verlassen. Dies betrifft nicht nur den Bereich der Netz- und Informationssicher- 
heit. Es ist eine allgemeine Beobachtung, dass Verwaltungen in Zeiten zuneh- 
mender Komplexität auf die Übernahme von Sachverstand und Expertise aus 
verwaltungsexternen Quellen angewiesen sind.” Gerade im äußerst dynami- 
schen Regulierungsrecht stellt der Rückgriff auf externen Sachverstand nicht 
die Ausnahme dar, sondern hat sich zum Regelfall entwickelt.’®’ Der Wissens- 
bedarf bezieht sich auf Sachverstand, sachkundige Personen mit theoretischem 
als auch praktischem Fach- und Erfahrungswissen sowie auf wissenschaftli- 
chen Sachverstand.°®® Begründet werden kann der Rückgriff insbesondere mit 
einer „besonderen Problemnähe“ entsprechender Fachkompetenzen,°®” aber 
auch mit den begrenzten personellen wie organisatorischen Ressourcen der Be- 
hörden, die nicht ausreichen, um gegenstandsadäquat Spezialinformationen zu 
generieren.” 

Ein Sachverständigenbeteiligungsrecht im Sinne des Allgemeinen Verwal- 
tungsrechts besteht nicht. Es liegt mit $26 Abs. 1 Nr. 1 VwVfG lediglich eine 
Grundregel vor, nach der die Behörde zur Ermittlung des Sachverhalts Aus- 
künfte jeder Art einholen, d.h. Sachverstand zu Rate ziehen kann. In dem die 


385 Vgl. Erwägungsgrund 35 NIS-RL. 

386 Vgl. Nußberger, Sachverständigenwissen als Determinante verwaltungsrechtlicher 
Einzelentscheidungen, AöR 129 (2004), 282 (284 ff.). 

387 Zum Bereich Telekommunikation Wollenschläger, Wissensgenerierung im Verfahren, 
2009, S. 116 ff. 

388 Zur Differenzierung Nußberger, AöR 129 (2004), 282 (291 f.); Scholl, Der private 
Sachverständige im Verwaltungsrecht, 2005, S. 98 ff. 

3899 Augsberg, Informationsverwaltungsrecht, 2014, S. 118. 

390 Voßkuhle, Sachverständige Beratung des Staates, in: Isensee/Kirchhof (Hrsg.), HbStR 
HI, § 43 Rn. 2ff. 
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Netz- und Informationssicherheit betreffenden Verwaltungsrecht finden sich 
darüber hinaus spezielle Bestimmungen, welche die Beteiligung Privater an der 
Wissensgenerierung zu fördern geeignet sind. 


1. Kooperation mit Privaten 


Das BSI hat gemäß $ 3 Abs. 1 Nr. 15 BSIG die gesetzliche Aufgabe, „im Ver- 
bund mit der Privatwirtschaft“ für die Krisenfrüherkennung, Krisenreaktion 
und Krisenbewältigung geeignete Kommunikationsstrukturen zur Gewährleis- 
tung der Sicherheit in der Informationstechnik kritischer Infrastrukturen aufzu- 
bauen. 

Es besteht damit nicht nur eine lediglich im Ermessen des BSI bestehende 
Möglichkeit zur Kooperation, sondern ein zur Pflicht verdichteter Kooperati- 
onsauftrag, der sowohl den Austausch theoretischen als auch anwendungsbezo- 
genen Wissens umfassen kann. 

Eine Verfahrensregelung neben der Zuweisung der Koordinierungsfunktion 
beim BSI lässt sich aus der Aufgabennorm nicht ableiten. Auf unionsrechtlicher 
Ebene lässt sich Erwägungsgrund 59 der NIS-RL lediglich zu entnehmen, dass 
die Marktteilnehmer mit dem öffentlichen Sektor neben den verfahrensrechtlich 
strukturierten Verfahren einen informellen Austausch anstreben sollen.”' Ne- 
ben der vagen prozeduralen Vorgabe finden sich Konkretisierungen der Koope- 
ration mit Privaten zur behördlichen Informations- und Wissensgenerierung.””? 


a) Vorschlag von technischen Sicherheitsstandards durch Branchenverbände 


Für die Einhaltung materiell-rechtlicher Sicherheitspflichten der Betreiber kriti- 
scher Infrastrukturen ist der „Stand der Technik“ maßgeblich (§ 8a Abs. 1 S.2 
BSIG). An welchen technischen Standards sich dieser Maßstab orientiert, ist ein 
die IT-Sicherheit perennierendes Problem.” Der mit dem IT-Sicherheitsgesetz 
eingeführte $ 8a Abs. 2 BSIG intendiert Abhilfe zu schaffen. Branchenverbände 
können Standards vorschlagen, die vom BSI akzeptiert werden können. Der 
Umsetzungsplan Kritische Infrastrukturen (UP KRITIS) als öffentlich-private 


31 Zu den meist fehlenden verfahrensbezogenen Regelungen Hofmann, Externer Sach- 
verstand im Verwaltungsverfahren, in: Spiecker gen. Döhmann/Collin (Hrsg.), Generierung 
und Transfer staatlichen Wissens im System des Verwaltungsrechts, 2008, S. 176 (184 f.). 

392 Siehe auch BT-Drs. 18/5121, S. 13 für den Vorschlag, die Finanzierung regelmäßiger 
und unabhängiger Überprüfung sicherheitsrechtlicher Software (bug bounty) gesetzlich zu 
verankern. Zur Aufforderung, das „NIS-Wissen“ durch Hacker-Wettbewerbe zu verbessern, 
Europäischer Wirtschafts- und Sozialausschuss, Stellungnahme zu NIS-RL, TEN/513, S. 3. 

33 Dazu Schmidt-Preuß, in: Kloepfer, Schutz kritischer Infrastrukturen, 2010, S. 67 ff; 
Spindler, Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, 2007, S. 26 ff. 
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Kooperation zwischen Betreibern kritischer Infrastrukturen stellt eine Platt- 
form für die Zusammenarbeit bereit.” Normungsorganisationen wie das Deut- 
sche Institut für Normung e.V. sollen ihre Fachkompetenz einbringen. Die Ko- 
operation zur Ermittlung der Sicherheitsstandards, die dem Stand der Technik 
entsprechen müssen, soll die im „hohen Maße erforderliche Fachkompetenz und 
[den] Ressourcenaufwand“ ausgleichen.” 


b) Ausgestaltung des Verfahrens der Sicherheitsaudits, Prüfungen und 
Zertifizierungen 


Die Betreiber kritischer Infrastrukturen müssen alle zwei Jahre die Einhaltung 
der Sicherheitsanforderungen durch geeignete Maßnahmen nachweisen. Das 
Gesetz lässt die Form des Nachweises weitgehend offen und nennt nur Sicher- 
heitsaudits, Prüfungen oder Zertifizierungen ($ 8a Abs. 3 S.2 BSIG). Im BSIG 
findet sich außer zur Zertifizierung ($ 2 Abs. 7 BSIG) keine Vorgabe dafür, wie 
und durch wen die Nachweisprüfungen vorgenommen werden können. Die Ver- 
ordnungsermächtigung (§§ 10 Abs. 2, 8a Abs. 4 BSIG) kompensiert allerdings 
das gesetzliche Defizit.” Die Anforderungen an die Art und Weise der Durch- 
führung, der auszustellenden Nachweise und der organisatorischen Anforde- 
rungen an die prüfende Stelle kann das BSI festlegen. Zuvor hat sie die Vertreter 
der betroffenen Infrastrukturbetreiber und Wirtschaftsverbände anzuhören 
($ 8a Abs. 4 BSIG). 


c) Einbindung bei der Erstellung von Sicherheitskatalogen 


Im Telekommunikationssicherheitsrecht besteht mit $ 109 Abs. 6 S.2 TKG eine 
weitere prozedurale Ausgestaltung der Wissensgenerierung durch Unterstüt- 
zung von Privaten. Bei der Erstellung des Katalogs von Sicherheitsanforderun- 
gen erhalten die Hersteller, die Verbände und die Betreiber öffentlicher Kom- 
munikationsnetze sowie die Verbände der Anbieter öffentlich zugänglicher Te- 
lekommunikationsdienste Gelegenheit zur Stellungnahme. 


d) Einkauf von Expertise und Informationen über Sicherheitslücken 


Der Blick in die behördliche Praxis zeigt, dass über gesetzlich vorgesehene oder 
angedeutete Verfahren hinaus bei kommerziellen Sicherheitsdienstleistern ein- 
gekauft wird. So vergibt das BSI regelmäßig Aufträge zur Durchführung von 


394 UP KRITIS, Öffentlich-Private Partnerschaft zum Schutz Kritischer Infrastrukturen, 
2014. 

35 Entwurf eines IT-Sicherheitsgesetzes vom 25.02.2015, BT-Drs. 18/4096, S. 34. 

3% Kritisch Roßnagel, DVBl. 2015, 1206 (1209). 
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Studien, um Sicherheitsanalysen zu realisieren oder Leitfäden zu erstellen.” 
Bei der Verteilung auf Auftragspakete wird deutlich, dass das Ergebnis präjudi- 
ziert sein kann.””® Als weiteres Beispiel kann der Ankauf von Informationen 
über Sicherheitslücken dienen. Das BSI hatte zum Schutz der Regierungsnetze 
einen Vertrag mit einem französischen IT-Dienstleister über den Ankauf von 
besonders sensiblen Zero-Day-Schwachstellen und ähnlichen Informationen 
zum präventiven Schutz vor Gefährdungen durch neu aufgedeckte Schwachstel- 
len in weitverbreiteten Softwareprodukten geschlossen.” 


e) Einsatz wissenschaftlicher Kommissionen 


Für die Bundesnetzagentur hat der Gesetzgeber den Kontakt zur wissenschaft- 
lichen Expertise institutionalisiert und verstetigt. Zur Vorbereitung ihrer Ent- 
scheidungen, aber auch zur Begutachtung von Regulierungsfragen, zu denen 
nach § 2 Abs. 2 Nr. 9 in Verbindung mit §§ 108 ff. TKG die öffentliche Sicher- 
heit gehört, kann die Agentur wissenschaftliche Kommissionen einsetzen. De- 
ren Mitglieder müssen nicht nur ökonomisch versiert sein, sondern auch über 
besondere technologische oder rechtliche Erfahrungen verfügen. Aus dem 
Wortlaut von $ 125 Abs. 2 S. 1 TKG, nach dem die Bundesnetzagentur „fortlau- 
fend wissenschaftliche Unterstützung“ „erhält“, ergibt sich, dass es auch die 
Pflicht der Behörde ist, die Unterstützung anzunehmen (und dass im Bundes- 
haushalt entsprechende Mittel bereitzustellen sind). 


2. Dysfunktion und Zulässigkeit der Informationsgenerierung über Private 


Bei der Informations- und Wissensübernahme sind die strukturellen und be- 
reichsspezifischen Probleme zu berücksichtigen, die bei der Mitwirkung ver- 
waltungsexterner Dritten bestehen (a). Die unmittelbare Einbeziehung Privater 
bei der Informationsgenerierung ist bei der bestehenden Ausgestaltung grund- 
sätzlich zulässig (b). 


397 BSI, www.bsi.bund.de, Publikationen, Studien. 

38 Scherschel, BSI-Audit: OpenSSL ohne große Schwachstellen, aber mit Entropie-Prob- 
lemen, Heise vom 10.02.2016, online abrufbar, wo bemerkt wird, dass in der untersuchten 
OpenSSL-Bibliothek keine neuen Schwachstellen gefunden wurden, nach diesen aber auch 
nicht explizit gesucht wurde. 

39 Vgl. Antwort des Bundesministeriums des Innern auf schriftliche Frage von Andrej 
Hunko, MdB, vom November 2014, Arbeitsnummer 11/37, abrufbar unter: http://www.andrej- 
hunko.de%2Fstart%2Fdownload%2Fdoc_download%2F523-schriftliche-frage-zum-ankauf- 
von-zero-day-exploits-oder-aehnlichen-informationen-ueber-schwachstellen-in-software- 
produkten-durch-bsi-und-bnd. 

400 Attendorn/Geppert, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, $ 125 Rn. 14. 
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a) Wissensübernahme von Privaten im Bereich Sicherheit 


Für die Leitfrage des Beitrags des Informationsverwaltungsrechts zur Gewähr- 
leistung der Sicherheit drängt sich hinsichtlich der Übernahme verwaltungs- 
externen, sicherheitsbezogenen Wissens die Frage potenzieller Dysfunktionen 
auf. 

Vom Standpunkt einer hohen Sicherheitserwartung ist die Anreicherung des 
behördlichen Wissens durch zusätzliches Fachwissen grundsätzlich wünschens- 
wert. Die Anhörung Betroffener kann zur „Grundform behördlicher Informa- 
tionsgewinnung“ gezählt werden.” Die Behörde kann durch die Beteiligung 
Externer nicht nur fehlendes Tatsachenwissen einholen. Viemehr bietet die An- 
hörung den Stellungnehmenden die Gelegenheit zur aktiven Mitgestaltung der 
Entscheidungspraxis. Das Recht wird auf diese Weise nicht nur reflexiv, „son- 
dern responsiv, im Sinne einer intentional vollzogenen Aktivierung der Um- 
welt, die zu Irritationen des Rechts anregt“,?” erzeugt. 

Mit der Einbindung privater Interessenvertreter und der Übernahme externen 
Wissens, d.h. durch die Externalisierung der Wissensproduktion, wird die NIS- 
Verwaltung zwar entlastet. Zu einem gewissen Teil gibt sie damit aber Hand- 
lungskompetenz an private Akteure ab.” Das Beispiel der Beteiligung Privater 
und Externer an der Implementierung von Sicherheitsstandards macht deutlich, 
dass die Kooperationsstruktur im IT-Sicherheitsrecht erst im Begriff ist, sich als 
Modus innovativer Informationsgenerierung zu etablieren. 

Ein Mechanismus etwa zur Entscheidung der Frage, welcher Standard bei kon- 
kurrierenden Vorschlägen gelten soll, ist in $ 8a Abs. 2 BSIG nicht vorgesehen. 
Die Wissensperspektive darfhier aber nicht zu einer Verengung des Blicks auf die 
Interessenlage führen. Das fehlende Abstimmungsverfahren birgt die Gefahr 
ökonomischer Fehlanreize. Die Sicherheit erhöhte sich, wenn die Summe der vor- 
geschlagenen Maßnahmen als Standard definiert würde. Bestehende ökonomi- 
sche Anreize können freilich dazu führen, dass der Minimalkonsens als bran- 
chenspezifischer Sicherheitsstandard etabliert wird und so durch die Einführung 
„schwacher“ Branchenstandards im Wege der Übernahme verwaltungsexternen 
Wissens bei den Unternehmen letztlich potenzielle Investitionskosten und Com- 
pliance-Vorgaben vermieden werden. Die möglichen Informationsgewinne und 
damit einhergehenden behördlichen Erleichterungen dürfen, insbesondere bei der 
Etablierung von Sicherheitsstandards, gerade nicht dazu führen, dass den Eigen- 


41 Gusy, Die Informationsbeziehung zwischen Staat und Bürger, in: Hoffmann-Riem/ 
Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Bd. II, 2. Aufl. 2012, 
§ 23 Rn. 69. 

402 Augsberg, Informationsverwaltungsrecht, 2014, S. 144. 

403 Scholl, Der private Sachverständige im Verwaltungsrecht, 2005, S. 112 f., 147 f. 
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erklärungen der angehörten Vertreter zu hohes Gewicht eingeräumt wird. Anders 
als in anderen technischen Sicherheitsbereichen besteht bei der IT-Sicherheit 
grundsätzlich noch kein dafür hinreichendes Vertrauensniveau.*'* 

Bei der wissenschaftlichen Beratung muss bedacht werden, dass die Wissen- 
schaft „die Zahl der Beurteilungsperspektiven und der diskutablen Entschei- 
dungsfolgen vermehrt.” Denn die wissenschaftliche Systemrationalität ist 
stärker auf die Erweiterung der Menge von Wissen und Problemen, zum Bei- 
spiel durch die Entwicklung neuer diskutabler Fragestellungen, als auf Problem- 
lösung und Erhöhung der Entscheidungskompetenz ausgerichtet.” Gerade für 
die aufgezeigten Verfahren der wissenschaftlichen Beratung sei das epistemi- 
sche Problem zu beachten, dass wissenschaftliches Wissen nicht eine Repro- 
duktion der Wirklichkeit darstelle, sondern eine „höchst voraussetzungsreiche, 
kontextabhängige Konstruktion“. *” Wissensübernahme ist folglich immer auch 
die Übernahme ausgewerteten Wissens. Die Leistungsfähigkeit der Wissens- 
übernahme stößt dort an die Grenzen, wo die Amtsführung durch die ‚„Interna- 
lisierung von Lobbyinteressen“ gefährdet wird.*?%® 

In jedem Falle bedarf es auf Seiten der Verwaltung eines spezifischen Meta- 
Wissens, um die Koordinierungsfunktion einnehmen zu können und erfolg- 
reich außeradministratives Wissen zu übernehmen.“ Die Behörde muss in 
praktischer Hinsicht mit hoch qualifiziertem Personal ausgestattet sein, um die 
Expertise in der erforderlichen Breite zu entwickeln und eine qualitative Aus- 
wahl bezüglich der in Betracht kommenden externen Sachverständigen oder der 
Vergabe spezifischer amtsbezogener Aufgaben treffen zu können. 


#4 Vgl. zu den sog. CE-Kennzeichen Verordnung (EG) Nr. 765/2008 über die Vorschrif- 
ten für die Akkreditierung und Marktüberwachung im Zusammenhang mit der Vermarktung 
von Produkten. 

#5 Kropp/Wagner, Wissensaustausch in Entscheidungsprozessen: Kommunikation an 
den Schnittstellen von Wissenschaft und Agrarpolitik, in: Mayntz et al. (Hrsg.), Wissenspro- 
duktion und Wissenstransfer, 2008, S. 173 (173). 

406 Priddat, Wissen, Recht und Organisation — Perspektiven der Politischen Ökonomie, 
in: Spiecker gen. Döhmann/Collin (Hrsg.), Generierung und Transfer staatlichen Wissens im 
System des Verwaltungsrechts, 2008, S. 295 (297). 

#7 Augsberg, Informationsverwaltungsrecht, 2014, S. 138 f. 

#8 Vgl. Groß, Ressortforschung, Agenturen und Beiräte — zur notwendigen Pluralität der 
staatlichen Wissensinfrastruktur, in: Röhl (Hrsg.), Wissen — Zur kognitiven Dimension des 
Rechts, Die Verwaltung, Beiheft 9, 2010, S. 135 (140). 

409 Zur Meta-Governance als Modell zum Schutz kritischer Infrastrukturen Dunn Cavelty/ 
Suter, International Journal of Critical Infrastructure Protection 2009, 179 (183); vgl. auch 
Gaycken, Öffentliches Fachgespräch zum Thema „IT-Sicherheit“, A-Drs. 18(24)10, S. 11, der 
zudem auf das Erfordernis flexibler und industriefähiger Gehälter beim BSI hinweist. 
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b) Zur Zulässigkeit der Inanspruchnahme Privater bei der Informations- und 
Wissensgenerierung 


Neben der Frage nach den dysfunktionalen Implikationen der Übernahme exter- 
nen Wissens ist danach zu fragen, ob und wann in der Hinzuziehung Privater zur 
Informations- und Wissensgenerierung eine unzulässige Inanspruchnahme der- 
selben zu sehen ist.*® Dies könnte dann der Fall sein, wenn Aufgaben durch Pri- 
vate übernommen werden, für die öffentliche Stellen Anforderungen mit einer 
höheren Regelungsdichte einzuhalten haben und diese Anforderungen umgangen 
werden. Ein „Indienstnahmeverbot“ wird etwa für die Datenerhebung in Infor- 
mationsnetzwerken angenommen, in denen Private aktiv (personenbezogene) 
Daten erheben und an Behörden weiterleiten.*'! Da die NIS-Verwaltung sowohl 
bei der pflichtenbasierten als auch bei der auf Freiwilligkeit beruhenden Informa- 
tionsgenerierung auf die Daten bei Privaten zurückgreift, insbesondere bei den 
Betreibern von Internetinfrastrukturen und -diensten, ist danach zu fragen, ob 
darin eine unzulässige Form der Indienstnahme von Privaten zu sehen ist. 

Die Betreiber von Internetinfrastrukturen und -diensten, die zur Gewährleis- 
tung der Netz- und Informationssicherheit verpflichtet werden, sind grundsätz- 
lich nicht als solche Beliehenen zu betrachten, für die spezifische, nur für öffent- 
liche Stellen bestehenden Begrenzungen gelten würden. Sie sind bereits der 
Struktur nach nicht als Beliehene anzusehen. 

Zwar ließe sich mit der Aufgabentheorie annehmen, dass Private schon Belie- 
hene sind, wenn ihnen Staatsaufgaben übertragen sind.*'? Allerdings lässt sich 
damit eine Abgrenzung zur „Indienstnahme“ von Privaten nur schwer vorneh- 
men.*" Bei der Qualifizierung des Handelns von Beliehenen sollte daher auf die 
Befugnis- und Rechtsstellung abgestellt werden. Es kommt damit darauf an, ob 
natürliche oder juristische Personen des Privatrechts Verwaltungsaufgaben er- 
füllen und ihnen die Befugnis verliehen wurde, diese Aufgaben selbstständig 
mit den Handlungsformen des öffentlichen Rechts, d.h. ggf. auch zwangsweise, 
im eigenen Namen wahrzunehmen.** 


410 Zur Indienstnahme Privater als wichtiges Bauelement im Informationsverwaltungs- 
recht Schoch, Öffentlich-rechtliche Rahmenbedingungen einer Informationsordnung, in: 
VVDStRL 57 (1998), S. 158 (209); vgl. Hoffmann-Riem, DVBl, 1996, 225 (225 ff.). 

#1 Pitschas, Datenschutz in Sicherheitspartnerschaften der Polizei mit privaten Sicher- 
heitsdienstleistern, in: Stober (Hrsg.), Public-Private-Partnerships und Sicherheitspartner- 
schaften, 2000, S. 91 (107). 
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43 Von Heimburg, Verwaltungsaufgaben und Private, 1982, S. 33. 

414 BVerwGE 35, 334 (337 ff); 61, 222 (224 ff.); Ehlers/Pünder (Hrsg.), Allgemeines Ver- 
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Diese Voraussetzungen erfüllen die Betreiber und Anbieter nicht. Die ihnen 
auferlegten Pflichten zur Gewährleistung der Netz- und Informationssicherheit 
($ 8a BSIG, $ 109 TKG, $ 13 Abs. 7 TMG bzw. Art. 32 DS-GVO) dienen vorran- 
gig der Sicherheit ihrer eigenen Daten und Systeme und verleihen ihnen noch 
keine funktionale Behördeneigenschaft. Erst die Bearbeitung der über die Pri- 
vaten generierten Daten durch die Bundesbehörden und durch die an der 
NIS-Kooperation angeschlossenen Einrichtungen findet auf der „Ebene der öf- 
fentlichen Sicherheit“ statt. Einwenden ließe sich, dass gerade der Ausfall oder 
eine Störung der Informationstechnik in kritischen Infrastrukturen eine Gefahr 
für die öffentliche Sicherheit darstelle (arg. e. § 2 Abs. 10 S. 1 Nr. 2 BSIG). Ho- 
heitliche Autorität und Gewalt dürfen die Betreiber und Anbieter aber für die 
ihnen aufgetragenen materiell-rechtlichen Sicherheitspflichten nicht ausüben. 
Die Telemediendiensteanbieter sind ausdrücklich nach $7 Abs. 2 TMG nicht 
allgemein zur Überwachung fremder Informationen, *' die sie übermitteln oder 
speichern, und zur Forschung nach Umständen, die auf eine rechtswidrige Tä- 
tigkeit hinweisen, verpflichtet. Die Befugnis zu Gefahrenabwehrmaßnahmen 
bei den Telekommunikationsanbietern und Netzbetreibern ist ebenfalls nicht 
allgemein, sondern auf den Zweck der Netz- und Informationssicherheit einge- 
grenzt. Damit kommen sie den Verpflichtungen aus $ 109 TKG nach.*!° Die 
Wahrung der Interessen der öffentlichen Sicherheit bleibt ein Ziel des Regulie- 
rungsrechts ($ 2 Abs. 2 Nr. 9 TKG). Bis auf die Befugnis zur Erhebung von Da- 
ten und damit zum Eingriff in grundrechtlich geschützte Positionen werden ih- 
nen keine hoheitlichen Rechte und Pflichten im Zusammenhang mit der Netz- 
und Informationssicherheit übertragen. 

Vor allem weil für die Sicherheitsbehörden eigene Erhebungsgrundlagen gel- 
ten, kann konstatiert werden, dass die überwiegende Verantwortung für das „Ko- 
operationsergebnis“ beim Staat verbleibt.*'’ Im Übrigen liegt es vor dem Hinter- 
grund, dass die Infrastrukturbetreiber und Internetanbieter Private sind, in der 


45 Die Vorschrift setzt Art. 15 Abs. 1 RL 2000/31/EG (E-Commerce-Richtlinie) um, nach 
der Mitgliedstaaten Diensteanbietern keine allgemeinen Überwachungspflichten auferlegen. 

#16 Vgl. Greenawalt, Die Indienstnahme privater Netzbetreiber bei der Telekommunika- 
tionsüberwachung in Deutschland, 2009, S. 229, der selbst für die Mitwirkung bei der Tele- 
kommunikationsüberwachung mangels Übertragung hoheitlicher Befugnisse nicht von einer 
Beleihung ausgeht. 

47 Zum Begriff Ladeur, Privatisierung öffentlicher Aufgaben und die Notwendigkeit der 
Entwicklung eines neuen Informationsverwaltungsrechts, in: Hoffmann-Riem/Schmidt- 
Aßmann (Hrsg.), Verwaltungsrecht in der Informationsgesellschaft, 2000, S. 225 ff. (231 £.); 
allgemein Voßkuhle, Beteiligung Privater an der Wahrnehmung öffentlicher Aufgaben und 
staatliche Verantwortung, in: VVDStRL 62 (2003), S. 266 (266 ff.). 
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Natur der Sache, dass die Wissensgenerierung nicht einseitig erfolgen kann, son- 
dern in privat-Öffentlichen Kommunikationsprozessen stattfinden muss.*!? 


E. Besondere Grenzen der Informationsgenerierung 


Im Vorangegangenen wurde untersucht, zu welchem Zweck welcher Akteur auf 
welcher rechtlichen Grundlage Informationen über die Sicherheit von Netzen 
und Informationssystemen generieren kann. Dabei hat sich gezeigt, dass für die 
Verwaltung sowohl eine Pflicht als auch ein Recht besteht, Informationen zu 
erheben. Die staatliche Informationsverantwortung endet jedoch dort, wo die 
Grenzen der Informationsgewinnung beginnen. Im Folgenden soll festgestellt 
werden, welche besonderen Grenzen für die Informations- und Wissensgenerie- 
rung bestehen. Nachfolgend wird daher untersucht, ob die Erfüllung und Durch- 
setzung der Meldepflicht davon abhängen, ob in ihnen ein Verstoß gegen das 
Verbot der Selbstbeschuldigung zu sehen ist (1.) und inwieweit das Datenschutz- 
recht (II.) und der Unternehmensdatenschutz (III.) die staatliche Informations- 
generierung im Bereich der IT-Sicherheit begrenzen. 


I. Meldepflichten und Selbstbelastungsschutz 


Die Rechtmäßigkeit von Meldepflichten im Bereich der IT-Sicherheit kann mit 
Blick auf den grundrechtlichen Schutz vor einer verpflichtenden Selbstbelas- 
tung bezweifelt werden. Die Vereinbarkeit einer Meldepflicht mit dem Verbot 
der Selbstbeschuldigung ist für die Effektivität dieses Instruments zur Generie- 
rung von Informationen über die Netz- und Informationssicherheit jedoch von 
wesentlicher Bedeutung. Der Konflikt tritt insbesondere dann auf, wenn der 
Grund einer Meldung eine sanktionsbewehrte Handlung oder ein sanktionsbe- 
wehrtes Unterlassen darstellt. Die Wissensproduktion könnte dadurch vereitelt 
werden, dass der Generierung von Informationen der Selbstbelastungsschutz 
entgegengehalten wird, wenn auf Grundlage von Informationspflichten wie 
Meldepflichten eine Beweislage geschaffen wird, die sich in einem Ermittlungs- 
verfahren gegen den Meldepflichtigen verwenden ließe. 


1. Verbot der Pflicht zur Selbstbelastung 


Das Verbot der Pflicht zu Selbstbelastung, aus dem folgt, dass niemand verpflich- 
tet ist, sich selbst und seine Angehörigen zu bezichtigen (nemo tenetur se ipsum 


48 Röhl, Ausgewählte Verwaltungsverfahren, in: Hoffmann-Riem/Schmidt-Aßmann/ 
Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Bd. II, 2. Aufl. 2012, $ 30, Rn. 35. 
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accusare), ist unionsrechtlich nicht ausdrücklich normiert. Das in Art. 346 
AEUV normierte Auskunftsverweigerungsrecht steht nur Mitgliedstaaten, nicht 
aber Privaten zu.“ Der Selbstbelastungsschutz ist jedoch als Ausprägung des 
durch Art. 6 EMRK gewährten fairen Verfahrens als wesentliches Justizgrund- 
recht anerkannt.”?° Der EuGH hat zudem die Bedeutung von Verteidigungs- 
grundrechten, wie sie nunmehr in Art. 48 Abs. 2 GRCh verankert sind, betont.” 
Das Bundesverfassungsgericht hat den Schutz vor einem Zwang zur Selbst- 
bezichtigung als Teil des allgemeinen Persönlichkeitsrechts, Art.2 Abs. 1 in 
Verbindung mit Art. 1 Abs. 1 GG, anerkannt. *”” Der Einzelne solle vom Staat 
„grundsätzlich nicht in eine Konfliktlage gebracht werden, in der er sich selbst 
strafbarer Handlungen oder ähnlicher Verfehlungen bezichtigen muss [...].“* 
Problematisch ist insofern, dass die Nichteinhaltung der materiell-rechtlichen 
Sicherheitspflichten, die ursächlich für das meldepflichtige Ereignis sein kann, 
sanktionsbewehrt ist. Die Mitgliedstaaten sind nach Art. 2la RL 2009/140/EG 
bzw. Art. 21 NIS-RL dazu verpflichtet, Vorschriften über Sanktionen für Verstö- 
Be gegen die nach den Richtlinien erlassenen nationalen Bestimmungen zu erlas- 
sen. Für datenschutzrechtliche Meldepflichten folgt dies aus Art. 83 Abs. 1 und 
84 Abs. 1 DS-GVO.** Das Spannungsverhältnis wird zudem durch das Zusam- 
menfallen der Funktionen als Meldeadressat und zugleich als Ahnungsbehörde 
verschärft. Die Aufgabenbündelung präventiver und repressiver Aufgaben bei 
den zuständigen NIS-Behörden ist in Art. 15 Abs. 2 und 3 bzw. Art. 17 Abs. 2 
und 3 NIS-RL angelegt. In Deutschland sind das BSI und die Bundesnetzagentur 
als Verwaltungsbehörden im Sinne des $ 149 Abs. 3 TKG bzw. $ 14 Abs. 3 BSIG 
im Verbindung mit $ 36 Abs. 1 Nr. 1 OWiG für die Verfolgung und Ahndung der 
Ordnungswidrigkeiten zuständig. Auch Art. 83 Abs. 1 DS-GVO geht von der 
Verhängung von Geldbußen durch die Datenschutzaufsichtsbehörde selbst aus. 
Zum Schutz vor der Selbstbezichtigung bestehen zum Teil einfachgesetzliche 
Regelungen. So besteht mit $ 127 Abs.8 TKG ein Auskunftsverweigerungs- 
recht und Verwertungsverbot. Das Auskunftsverweigerungsrecht bezieht sich 
jedoch auf geschäftliche Informationen, das qualifizierte Verwertungsverbot 


#9 Siehe § 4 C. IV. 

#0 EuGH, C-204/00 P, Rn. 64ff., C-374/87, Rn. 34; Hatje, in: Schwarze/Becker/ders./ 
Schoo, EU-Kommentar, 3. Aufl. 2012, EUV, Art. 6, Rn. 31. 

#21 EuGH, C-550/07 P, Rn. 92. 

#2 BVerfGE 38, 105 (113 ff.); 55, 144 (150); 56, 37 (43); vgl. Stohrer, Informationspflichten 
Privater gegenüber dem Staat in Zeiten von Privatisierung, Liberalisierung und Deregulie- 
rung, 2007, S. 273. 

#3 BVerfGE 95, 220 (241). 

#4 Sanktionsbewehrt ist auch der Verstoß gegen die Meldepflicht. Es ist gemäß $ 149 
Abs. 1 Nr. 2la TKG, $ 14 Abs. 1 Nr. 4 BSIG, § 43 Abs. 2 Nr. 7 BDSG ordnungswidrig, eine 
Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig zu machen. 
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auf Verfahren im steuerrechtlichen Zusammenhang. Auf Auskünfte und deren 
Verwendung im sicherheitsrechtlichen Zusammenhang bezieht sich die Norm 
nicht. Darüber hinaus besteht für die datenschutzrechtliche Meldepflicht ein 
ausdrückliches Verwendungsverbot in $ 42a S.6 BDSG, das über die Verwei- 
sung gleichfalls für die telemediendatenschutzrechtliche und telekommunika- 
tionsdatenschutzrechtliche Meldepflicht gilt ($ 15a TMG, § 109a Abs. 1 S.5 
TKG). Allerdings sieht die DS-GVO, anders als $ 42a S. 6 BDSG, kein entspre- 
chendes Verwendungsgebot vor. Ein besonderer Schutz fehlt auch in der NIS- 
Richtlinie und im BSIG.”” 

Damit ist fraglich, wie sich fehlende positiv ausgestaltete Schutzvorkehrun- 
gen auf die Erfüllung der Meldepflichten auswirken. 


2. Kein absoluter Schutz vor Selbstbelastung 


Die genauere Betrachtung der Rechtsprechung macht deutlich, dass der Schutz 
vor Selbstbelastung nicht absolut ist. 

Der Europäische Gerichtshof hat in seiner Rechtsprechung zu kartellrechtli- 
chen Verfahren ein Recht zur Verweigerung der Übermittlung von Informatio- 
nen aufgrund des nemo-tenetur-Grundsatzes abgelehnt. Um die Wirksamkeit 
wettbewerbsrechtlicher Ermittlungsmaßnahmen zu gewährleisten, seien Unter- 
nehmen grundsätzlich verpflichtet, auch belastende Informationen zu übermit- 
teln.*?° Einschränkungen sollten dagegen für die Offenlegung von Tatsachen 
gelten, für welche die Kommission beweispflichtig wäre.’ 

Auch im nationalen Recht gilt der nemo-tenetur-Grundsatz nicht absolut. 
Dem Selbstbelastungsschutz können im Einzelfall schutzwürdige Belange Drit- 
ter oder öffentliche Informationsinteressen gegenüberstehen. Das Bundesver- 
fassungsgericht führte aus, dass die Selbstbezichtigungsfreiheit in Straf- oder 
ähnlichen Verfahren nicht in gleicher Weise für Personen gilt, „die aus besonde- 
ren Gründen rechtsgeschäftlich oder gesetzlich dazu verpflichtet sind, einem 
anderen oder einer Behörde die für diese notwendigen Informationen zu ertei- 
len“.® Bei der Normierung uneingeschränkter Auskunftspflichten „kann“ der 
Gesetzgeber „berücksichtigen“, dass das Nachkommen der Informationspflicht 
nicht allein im staatlichen bzw. öffentlichen Interesse, sondern zugleich im In- 


#5 Lediglich für personenbezogene Daten besteht gemäß § 8b Abs.7 BSIG eine Be- 
schränkung für die Verwendung in Straf- und Ordnungswidrigkeitsverfahren. 

#6 EuGH, Rs. C-301/04, Rn. 41; C-374/87, Rn. 27 ff., 34. 

#7 EuGH, C-374/87, Rn.35; Kritisch mit Blick auf die Abgrenzungsschwierigkeiten 
Jaeckel, in: Grabitz/Hilf/Nettesheim (Hrsg.), AEUV/EUV, 57. Aufl. 2015, AEUV, Art. 337 
Rn. 52. 

#8 BVerfGE 56, 37 (45). 
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teresse eines geschädigten Dritten erfolgt.” Da Drittinteressen lediglich zu 


berücksichtigen sind, ist die Rechtfertigung einer uneingeschränkten Informa- 
tionspflicht allein im öffentlichen Interesse nicht ausgeschlossen.*° 

Die Ausführungen des Gerichts lassen sich auf die sicherheitsrechtlichen 
Meldepflichten übertragen. Ein öffentliches Interesse besteht dabei insbesonde- 
re an Informationen über die Sicherheitslage kritischer Infrastrukturen, also 
solcher, die für die Gesellschaft von herausragender Bedeutung sind. Im Ergeb- 
nis dient die Erkenntnisgewinnung auch den Betreibern selbst, dritten Unter- 
nehmen und Nutzern.®! Ein pauschales Verweigerungsrecht im Rahmen von 
Informationspflichten würde die effektive Erkenntnisgewinnung nicht nur er- 
schweren, sondern ihr und ihrem Zweck zuwiderlaufen. Die Unternehmen sind 
strukturell bedingt die einzig verfügbaren Informationsquellen, sodass sie in 
einer verwaltungsrechtlichen Mitwirkungspflicht in der Sicherheitsgewährleis- 
tung stehen. Eine Selbstbezichtigung ist demnach grundrechtlich vertretbar, 
wenn sie zum Schutz kollidierender Interessen verhältnismäßig erscheint, ins- 
besondere wenn dafür Sorge getragen wird, dass die Aussagen nicht die Voraus- 
setzungen für eine strafgerichtliche Verurteilung oder die Verhängung ver- 
gleichbarer Sanktionen liefern.*? 

Für die Wirksamkeit von Melde- und anderen Informationspflichten ist ferner 
anzuführen, dass das Bundesverfassungsgericht den Schutz vor Selbstbelastung 
ausdrücklich dem Recht auf informationelle Selbstbestimmung zuordnet.*” 
Schutz vor einem Zwang zur Selbstbezichtigung kommt juristischen Personen 
grundsätzlich nicht zu. Jedenfalls dort, wo der Grundrechtsschutz an Eigen- 
schaften, Äußerungsformen oder Beziehungen anknüpft, die nur natürlichen 
Personen wesenseigen sind, kommt eine Erstreckung auf juristische Personen 
als bloßes Zweckgebilde der Rechtsordnung nicht in Betracht. Das ist umso eher 
der Fall, als der Grundrechtsschutz im Interesse der Menschenwürde gewahrt 
wird. ** In diesem Sinne argumentiert auch der Europäische Gerichtshof im Rah- 
men einer vergleichenden Untersuchung der nationalen Rechtsordnungen.*®> 


#9 BVerfGE 56, 37 (49 f.). 

#0 Berliner, Informationsbefugnisse der Bundesnetzagentur im Telekommunikationsrecht, 
2012, S. 249. 

#1 Siehe zur Informationsdistribution an Private § 5. 

#2 BVerfGE 56, 37 (50 ff.); vgl. Di Fabio, in: Maunz/Dürig (Hrsg.), GG, Band I, 75. Aufl. 
2015, Art. 2 Rn. 188; vgl. aber Sondervotum Heußner, BVerfGE 56, 37 (52 ff.). 

#3 BVerfGE 65, 1 (46); 96, 171 (181). 

#4 BVerfGE 95, 220 (242); vgl. zur Diskussion Dannecker, ZStW 127 (2015), 370 (370 ££.); 
Roßnagel, A-Drs. 18(4)284 B, S. 10. 

#5 EuGH, C-374/87, Rn. 29. 
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3. Ausgleich der betroffenen Interessen 


Als verfassungsmäßiger Ausgleich der Interessen zum einen an der Generie- 
rung sicherheitsrelevanter Informationen und zum anderen an denen zum 
Schutz vor der Selbstbelastung kommen insbesondere dort, wo ausdrückliche 
Schutzvorkehrungen nicht getroffen sind, mehrere Lösungen in Betracht. 

Zunächst kommt die Begründung eines ungeschriebenen Auskunftsverwei- 
gerungsrechts in Betracht.*° Die Meldepflicht bestünde grundsätzlich fort, aus- 
genommen wären aber Meldungen über solche Sicherheitsvorfälle, mit denen 
sich die Meldepflichtigen selbst belasten würden. 

Daneben könnten die betreffenden Sanktionsregelungen für unwirksam be- 
trachtet und nicht mehr angewendet werden.’ Die Meldepflicht bestünde eben- 
falls fort, etwaige gemeldete Pflichtverletzungen wären aber nicht mehr buß- 
geldbewehrt. 

Um einen absoluten Schutz für Straf- und ähnliche Verfahren zu gewährleis- 
ten, kommt schließlich die Annahme eines ungeschriebenen Verwertungsver- 
bots in Betracht.*® Die Meldepflicht stünde auch mit diesem Ansatz fort, doch 
könnten gemeldete Informationen nicht mehr in Straf- und Ordnungswidrigkei- 
tenverfahren gegen den Meldepflichtigen verwendet werden. 

Für die Annahme eines Auskunftsverweigerungsrechts spricht im Vergleich 
zu einem Beweisverwertungsverbot der stärkere Schutz, da insofern von vorne- 
herein keine Meldeinhalte übermittelt werden müssten. Allerdings würde damit 
der Schutz der Interessen der Meldepflichtigen pauschal höher bewertet als das 
Interesse der Allgemeinheit und Dritter an den durch die Meldung generierten 
Informationen. Schutz vor Selbstbezichtigung würde ohne Rücksicht auf weite- 
re schutzwürdige Belange gewährt. 

Für die Nichtanwendung der Bußgeldregelungen spricht, dass das Span- 
nungsverhältnis von Meldepflicht und Selbstbelastungsschutz grundsätzlich ab- 
geschwächt wird. Dadurch wird allerdings noch kein rechtssicherer Schutz vor 
Belastungen in anderen Verfahren bewirkt. Außerdem hat sich der Gesetzgeber 
nach Kritik an möglichen Durchsetzungsdefiziten ausdrücklich für die Buß- 
geldregelungen entschieden.” 


#6 Vgl. Queck, Die Geltung des nemo-tenetur-Grundsatzes zugunsten von Unternehmen, 
2005, S. 44 ff. 

#7 Im Rahmen von $ 109 Abs. 5 TKG und mit Blick auf Art. 13a Abs. 3 RL 2009/140/EG 
Eckhardt, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, $ 109, Rn. 79. 

#8 Vgl. Brink, in: Wolff/Brink, BeckOK DSR, 19. Ed. 2017, Art. 33, Rn. 42. 

#9 Vgl. die Ausführungen von Roßnagel im Rahmen der Expertenanhörung zum IT-Si- 
cherheitsgesetz, A-Drs. 18(4)284 B, S. 10. Der später in Kraft getretene Art. 21 S.2 NIS-RL 
fordert insbesondere „abschreckende“ Sanktionen. 
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Vorzugswürdig ist die Annahme eines ungeschriebenen Verwertungsverbo- 
tes. Dieser Weg berücksichtigt, dass sich die Selbstbelastungsfreiheit letztlich 
nur auf das Risiko straf-, ordnungswidrigkeiten- oder berufsrechtlicher Verfol- 
gung erstreckt.“ Im Verwaltungsverfahren kommt somit der nemo-tene- 
tur-Grundsatz zum Tragen, indem vor einer Selbstbezichtigung hinsichtlich der 
genannten Sanktionen ein Schutz besteht. Gesichert bleibt aber, dass Informati- 
onen über Sicherheitsvorfälle, deren Eintreten möglicherweise durch pflicht- 
widriges Verhalten verursacht oder gefördert wurde, generiert werden können. 
Auch sich an die Meldung anschließende Prüfungen und Anordnungen sind 
weiterhin zulässig. In diesem Sinne kann auch der Europäische Gerichtshof ver- 
standen werden, der die pauschale Berufung auf den nemo-tenetur-Grundsatz 
ablehnt, gleichwohl aber die Bedeutung der Verteidigungsrechte betont.*” 

Wird vom Vorliegen eines Verwertungsverbotes ausgegangen, stellt sich die 
wichtige Folgefrage, ob dies auch die Unzulässigkeit der Verwertung solcher 
Beweismittel einschließt, die mittelbar aus dem ersten Beweismittel gewonnen 
werden. In der Rechtsprechung wird eine derartige Fernwirkung des Beweis- 
verwertungsverbots regelmäßig mit der Begründung abgelehnt, dass ein solches 
mit Blick auf das Interesse an einer wirksamen Strafverfolgung nicht ohne Wei- 
teres dazu führen könne, dass das gesamte Strafverfahren lahmgelegt werde 
und damit die Wahrheitserforschungspflicht des Gerichts, die zu den tragenden 
Grundsätzen des Strafverfahrens gehöre, ausgehöhlt werde.** In einer Gegen- 
position wird in Anlehnung an die amerikanische Fruit-of-the-Poisonous-Tree- 
Doktrin eine Fernwirkung bejaht, da andernfalls das Beweisverwertungsverbot 
leerliefe.**” Dagegen wiederum kann aber vorgebracht werden, dass die Fern- 
wirkung rechtsstaatlich nicht notwendig ist. Die genannte Doktrin dient vor al- 
lem der Disziplinierung der Ermittlungsbehörden, während die Einzelfallabwä- 
gung der Frage, ob eine Fernwirkung besteht, auch die Rechtsstaatlichkeit des 
Verfahrens sichern soll.*** Für ein Verwertungsverbot mit Fernwirkung spre- 
chen aus informationsverwaltungsrechtlicher Sicht drohende nachteilige Aus- 
wirkungen auf die Erfüllung der Meldepflichten. Erst mit einer Fernwirkung 


440 Martini, in: Paal/Pauly, DS-GVO, 2017, Art. 33, Rn. 27. 

#1 EuGH, C-374/87, Rn. 34. 

#2 Etwa BGHSt 34, 362 (364); BGHSt 35, 32 (34). Der EGMR hat in einem Fall der Ver- 
letzung des Folterverbots aus Art.3 EMRK eine unbeschränkte Fernwirkung unabhängig 
von einer Abwägung zuerkannt. Die Frage, ob ein Verfahren insgesamt gegen den fair-trial- 
Grundsatz in Art. 6 EMRK verstößt, beantwortete das Gericht aber nicht, Urteil vom 01.06. 
2010, Nr. 22978/05, Rn. 176. 

#3 Lesch, in: Bockemühl (Hrsg.), Handbuch des Fachanwalts Strafrecht, 6. Aufl. 2015, 
S. 1291. 

#4 Vgl. für die Annahme einer Fernwirkung unter Hinweis auf die jeweils im Einzelfall 
erforderliche Abwägung OLG Oldenburg, NStZ 1995, 412 (412). 
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kann der Meldepflichtige sicher sein, dass die Meldung nicht zum Anlass dafür 
genommen wird, weitere Beweismittel zu erlangen. 

Zu betonen ist, dass das Vollzugsmodell von Informationspflicht und Sankti- 
on ohnehin in Regelungskontexten auf Grenzen stößt, in denen der Staat durch 
strukturelle Informationsasymmetrien auf Kooperation und die Unternehmen 
auf Vertrauen angewiesen sind. Wegen der „Informationsabhängigkeit“ bedarf 
es „schon aus strategischer Perspektive“ einer stärkeren Betonung des koopera- 
tiven Elements im Rahmen der Informationsgenerierung seitens der Verwal- 
tung.*® Auch die Ermittlungsbefugnisse zur Überprüfung, ob bei einem melde- 
pflichtigen Unternehmen überhaupt ein Sachverhalt vorliegt, der die Berufung 
auf die Selbstbelastungsfreiheit erlaubt, und die Sanktionsmöglichkeiten im 
Falle der nicht oder nicht vollständigen Meldung sollten primär vor dem Hinter- 
grund betrachtet werden, dass die Verwaltung eine Handhabe haben muss, um 
Akzeptanz im Meldeverfahren dadurch zu erzeugen, dass ein Ausscheren eines 
meldepflichtigen Unternehmens durch die Unterlassung von Meldungen verhin- 
dert werden kann und bei kooperationswilligen, meldenden Unternehmen nicht 
die Vermutung hervorgerufen wird, dass ihre Kooperationsbereitschaft zu 
Wettbewerbsnachteilen führen kann. Bei der Durchsetzung der Meldepflichten 
haben die NIS-Behörden über das in $ 47 OWiG verankerte Opportunitätsprin- 
zip einen gewissen Spielraum bei der Verfolgung von Ordnungswidrigkeiten. 
Die Intention, ein funktionierendes, auf freiwilligen vollständigen Angaben be- 
ruhendes Meldewesens zu gewährleisten, erscheint nicht von vorneherein als 
unsachlich und kann durchaus hinsichtlich der Frage berücksichtigt werden, ob 
ein Ordnungswidrigkeitenverfahren eingestellt wird. 

Zum Ausgleich der Konfliktsituation, die durch die Pflicht zur Meldung mög- 
licherweise selbstbelastender Umstände bestehen kann, kommt nach allem vor- 
zugsweise die Annahme eines Beweisverwertungsverbots in Betracht. Für die 
Fernwirkung des Verwertungsverbots kann ins Feld geführt werden, dass da- 
durch das Funktionieren des Meldewesens abgesichert wird. Zusätzlich sollte 
die NIS-Verwaltung zur Motivationssteigerung auch in der Ermittlung der Fra- 
ge, ob eine selbstbelastende Situation überhaupt vorlag und ob eine Meldung 
hätte übermittelt werden müssen, die strukturelle Angewiesenheit der Verwal- 
tung auf die Informationen berücksichtigen. 


445 Berliner, Informationsbefugnisse der Bundesnetzagentur im Telekommunikations- 
recht, 2012, S. 261; vgl. Wollenschläger, Wissensgenerierung im Verfahren, 2009, S. 190 ff.; 
Voßkuhle, Beteiligung Privater an der Wahrnehmung öffentlicher Aufgaben und staatliche 
Verantwortung, in: VVDStRL 62 (2003), S. 266 (270 ff.); kritisch wohl Taeger, NJW 2014, 
3759 (3759), der die fehlende Notifizierung von „Heartbleed“, einer für die Internetsicherheit 
kritischen Sicherheitslücke, auf nur rudimentäre Kontrollen der Behörden und nicht ausge- 
sprochene Sanktionen zurückzuführen scheint. 
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II. Besondere datenschutzrechtliche Grenzen 
der Informationsgenerierung 


Grenzen der Informationsgenerierung können sich insbesondere aus dem Da- 
tenschutz ergeben. Verfassungsrechtliche Vorgaben folgen herkömmlich aus 
dem grundrechtlichen „Recht auf informationelle Selbstbestimmung“, welches 
„die Befugnis des Einzelnen“ gewährleistet, „grundsätzlich selbst über die 
Preisgabe und die Verwendung seiner persönlichen Daten zu bestimmen“. ** 
Unionsrechtlich ist der Schutz der eigenen personenbezogenen Daten in Art. 8 
GRCh sowie in Art. 8 EMRK verankert. Im Zusammenhang mit Telekommuni- 
kationsdaten ist auch das in Art. 7 GRCh bzw. Art. 10 GG geschützte Fernmel- 
degeheimnis zu beachten.**” 

Vor allem in der deutschen Datenschutzdebatte wurde durch die Konstrukti- 
on von Staatsraison und Individualschutzinteressen als Gegensätze das Daten- 
schutzrecht als Regulativ in Form eines „kalkulierten Nichtwissens“ verstan- 
den.**® Datenschutzrecht kann insofern auch als Datenverkehrsrecht aufgefasst 
werden." 

Daraus ergeben sich Spannungen, weil der administrativen Informationsge- 
nerierung der Verwaltung verfassungsrechtlich Grenzen gesetzt werden, die mit 
dem Gebot, „die für rationales und planvolles staatliches Handeln erforderlichen 
Informationen zu beschaffen‘“°, in Einklang zu bringen sind.”! Der verglei- 
chende Blick auf den US-amerikanischen Cybersecurity Information Sharing 
Act (CISA)*” zeigt, dass auch scheinbar nur technisch anmutende Gesetze zur 
Cybersicherheit erhebliche datenschutzrechtliche Implikationen aufweisen kön- 
nen. Im Kern verfolgt jenes Gesetz das Ziel, die umfangreiche Datenerhebung 
der Unternehmen sowie den weitreichenden Austausch der gesammelten Infor- 
mationen, sog. Cyber Threat Indicators, mit Behörden zu ermöglichen. Auf- 
grund der überaus weitreichenden Definition der am Austausch teilnehmenden 
Behörden und der kaum ausgestalteten Datenschutzbestimmungen hat das Ge- 


446 BVerfGE 65, 1 (43). 

47 Dazu Kujat, Frühwarnsysteme zur Abwehr von Botnetzen, 2010, S. 20 f. 

48 Pitschas/Aulehner, NJW 1989, 2353 (2354) mit Verweis auf Simitis, KritJ 1988, 32 (46). 

#9 Dazu Podlech, Individualdatenschutz — Systemdatenschutz, in: Brückner (Hrsg.), Bei- 
träge zum Sozialrecht, Festgabe Grüner, 1982, S. 451 ff.; Pitschas, Die Verwaltung 33 (2000), 
111 (122ff., 127). 

450 BVerfGE 65, 1 (2). 

#1 Augsberg, Informationsverwaltungsrecht, 2014, S. 44; vgl. Schmidt-Aßmann, Verwal- 
tungsrecht in der Informationsgesellschaft: Perspektiven der Systembildung, in: Hoffmann- 
Riem/ders. (Hrsg.), Verwaltungsrecht in der Informationsgesellschaft, 2000, S. 405 (425). 

452 Cybersecurity Information Sharing Act von 2015 (CISA), H.R. 2029 — Consolidated 
Appropriations Act, 2016, Division N. 
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setz massiveKritik erfahren. Gleichermaßen wurde hinsichtlich der NIS-Richt- 
linie und des IT-Sicherheitsgesetzes im Gesetzgebungsverfahren bedeutende 
Kritik geübt. Es ergebe sich aus Datenschutzperspektive bei Einrichtung der für 
NIS zuständigen, nationalen Zentralbehörden „die Gefahr eines zentralen Da- 
tensilos mit entsprechend großem Missbrauchspotential“.** Das IT-Sicherheits- 
gesetz genüge den datenschutzrechtlichen Anforderungen nicht. 

Zu untersuchen ist also, inwiefern sich für die behördliche Informationsgene- 
rierung aus dem Datenschutz Grenzen ergeben. Dazu ist darauf einzugehen, in 
welchem Verhältnis die Gewährleistung der Sicherheit von Netzen und Infor- 
mationssystemen zum Datenschutzrecht steht (1.). Sodann ist zu fragen, inwie- 
weit die Betreiber und Anbieter, bei denen personenbeziehbare Daten generiert 
werden, ihrerseits entsprechende Daten verarbeiten dürfen (2.). Sodann sind die 
besonderen für die NIS-Administration aus dem Datenschutz resultierenden 
Grenzen aufzuzeigen (3.). 


1. Datenschutzrechtliche Relevanz der Netz- und Informationssicherheit 


Netz- und Informationssicherheit kann zum Datenschutz in einem Spannungs- 
verhältnis stehen,’ obwohl die Gewährleistung der Netz- und Informations- 
sicherheitnichtnur den Schutzzielen Verfügbarkeit, Vertraulichkeitund Integrität 
von Daten, sondern letztlich auch dem Datenschutz als Schutz personenbezoge- 
ner Daten dient. Grundsätzlich beinhaltet die Netz- und Informationssicherheit, 


453 Levine, Professors’ Letter in Opposition to The ‚Cybersecurity Information Sharing 
Act‘ (S. 754) vom 26.10.2015, online abrufbar; vgl. auch Wolff, Cybersecurity Legislation Is 
Too Short-Sighted, Slate vom 29.04.2015: „If anything, the primary criticism leveled at them 
— that the policies allow the sharing of too much data with too many people for too wide a 
variety of purposes — suggests we need to pare down, rather than expand, the types of infor- 
mation that it covers and their audience and uses.“ 

454 Siehe Engeler/Jensen/Obersteller/Deibler/Hansen, Monitoring durch Informations- 
fusion und Klassifikation zur Anomalieerkennung, 2014, S. 91; vgl. allgemein zu Risiken 
informationsverarbeitender Systeme Steinmüller/Ermer/Schimmel, Verallgemeinerung für 
riskante Systeme, in: dies. (Hrsg.), Datenschutz bei riskanten Systemen, 1978, S. 193. 

455 Hornung, NJW 2015, 3334 (3337); Lurz/Scheben/Dolle, BB 2015, 2755 (2759 ff.); 
Spindler, CR 2016, 297 (301 f.); Roßnagel, DVBl. 1216 (1212); zur Kritik im Gesetzgebungs- 
verfahren insbesondere Entschließung der 89. Konferenz der Datenschutzbeauftragten des 
Bundes und der Länder (DSK) vom 18. und 19.03.2015, IT-Sicherheitsgesetz nicht ohne Daten- 
schutz!, abrufbar unter: http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungs 
sammlung/DSBundLaender/89DSK_ITSicherheitsgesetzNichtOhneDatenschutz.html;jsessi 
onid=609AD2C5C845F6EC00DF5400942EAA53.1_cid319?nn=5217016; Stellungnahme zum 
Entwurf eines IT-Sicherheitsgesetz des Unabhängigen Landeszentrums für Datenschutz 
(ULD) Schleswig Holstein vom 13.02.2015, online abrufbar. 

456 Vgl. Bericht des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, 
SH-LT Drs. 18/2730, S. 18. 
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personenbezogene Daten vor Zugriffen zu schützen. Allerdings kann es für die 
IT-Sicherheit erforderlich sein, zum Erreichen dieses Zwecks in die Schutzgüter 
des Datenschutzes einzugreifen. 

Datenschutzrechtliche Belange können durch die Datenerhebung der unter- 
suchten Wissens- und Informationsakteure berührt sein (a). Voraussetzung für 
die Anwendung des Datenschutzrechts ist, dass es sich bei den verarbeiteten 
Daten um personenbezogene Daten handelt (b). 


a) Datensicherheit im Verhältnis zum Datenschutz 


Nach den IT-sicherheitsbezogenen Vorschriften müssen Sicherheitsvorkehrun- 
gen und -maßnahmen den „Stand der Technik“ berücksichtigen oder sollen die- 
sen einhalten.” 

Schutzmaßnahmen zum Zweck der Sicherheitsgewährleistung nach dem Stand 
der Technik können es erforderlich machen, dass Daten von Nutzern von Infra- 
strukturen oder Diensten erhoben, gespeichert, übermittelt und ausgewertet wer- 
den. Störungen, Fehlfunktionen und Angriffe auf IT-Systeme können häufig nur 
durch die automatisierte Analyse von Protokolldaten erkannt werden.*® Die Ef- 
fektivität von IT-Sicherheitsmaßnahmen kann umso höher sein, je tiefgreifender 
sie vorgenommen werden können. Die Abwehr beispielsweise von Botnetzen 
kann mittels weniger invasiver Maßnahmen wie Schwarzlisten von IP-Adressen, 
aber auch mittels effektiverer Maßnahmen, welche die invasivere Erhebung und 
Auswertung von Inhaltsdaten (sog. Deep Packet Inspection) voraussetzen, erfol- 
gen. Technisch ist es möglich, Systeme, Komponenten und Prozesse wie Fi- 
rewalls, Spamfilter und Intrusion Detection Systems etc. einzusetzen, die für ihre 
Funktion auf die Protokollierung von Nutzerdaten angewiesen sind, um effektiv 
vor äußeren Angriffen von Dritten, etwa durch SPAM, Botnetze, Viren, Würmer 
bzw. Trojaner und Phishing, DDoS-Attacken und vor anderen Klassen von Bedro- 
hungen, zu schützen.*” Als für besonders wichtig für die Erkennung und Abwehr 


457 Vgl. § 8a Abs. 1 S.2 BSIG bzw. Art. 14 Abs. 1 S.2 bzw. Art. 16 Abs. 1 S.2 NIS-RL, 
§ 109 Abs. 2 S. 3 TKG, $ 13 Abs. 7 S.2 TMG bzw. Art. 32 Abs. 1 S. 1 DS-GVO. 

#8 BT-Drs. 16/11967, S. 12. Dort auch zur Definition von Protokolldaten: „[Diese] sind in 
erster Linie die Steuerdaten, die bei jedem Datenpaket mit übertragen werden, um die Kom- 
munikation zwischen Sender und Empfänger technisch zu gewährleisten. Hinzu treten die 
Daten, die zwar nicht mit übertragen, aber im Rahmen der Protokollierung von dem Server 
im Übertragungsprotokoll miterfasst werden, insbesondere Datum und Uhrzeit des Protokoll- 
eintrags und ggf. Absender und Weiterleitungskennungen.“ 

#9 Vgl. Erklärung der Bundesregierung 2007 zur Notwendigkeit der Protokollierung von 
IT-Nutzerdaten zum Zwecke der IT-Sicherheit: „Die Speicherung ist insbesondere aus Sicher- 
heitsgründen notwendig: [...] Dazu gehört zwingend die Speicherung der IP-Adressen, um 
Angriffsmuster zu erkennen und Gegenmaßnahmen (z. B. durch die Speicherung bestimmter, 
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von IT-Angriffen erachtet werden die Kopfdaten (Header) der gängigen Kommu- 
nikationsprotokolle (IP, ICMP, TCP, UDP, DNS, http und SMTP).* Verschiede- 
ne Einzeldaten wie IP-Adressen, URLs, gescannte Portnummern, Routing-Tabel- 
len in Border Gateway Protocol-Routern, Datum, Uhrzeit sind für sich genom- 
men zunächst zwar bloß technische Angaben. Dennoch können diese Daten 
zugleich auf Nutzer und damit auf natürliche Personen verweisen.**' Insbesonde- 
re wenn (Meta-)Daten aggregiert und verknüpft werden (etwa die IP-Adresse mit 
der MAC-Adresse), könnten Erkenntnisse über Personen abgeleitet werden. 


b) Personenbeziehbarkeit von Maschinendaten 


Ob die zu Zwecken der Sicherheit verarbeiteten Maschinendaten als personen- 
bezogene Daten zu qualifizieren sind, ist allerdings im Einzelfall umstritten. 
Die über die Anwendbarkeit des Datenschutzrechts bestimmende Frage nach 
dem Personenbezug ist aufgrund des Einflusses und der Bedeutung der Antwort 


die „Gretchenfrage des Datenschutzes“. Bis heute ist ungeklärt, wie der Be- 


griff der Personanbeziehbarkeit auszufüllen ist. Weder auf internationaler*“, 


auf europäischer‘? noch auf deutscher Ebene*‘ besteht ein einheitliches Ver- 


ständnis des Tatbestandsmerkmals „personenbezogene Daten“. Für die Recht- 
mäßigkeit der Datenverarbeitung zu Zwecken der Netz- und Informationssi- 
cherheit resultiert daraus eine rechtliche Unsicherheit.*° 


für den Angriff genutzter IP-Adressen) einleiten zu können. Ohne diese Daten ist eine Abwen- 
dung der kontinuierlichen Angriffe nicht möglich.“, BT-Drs. 16/6938, Antwort auf Frage 11. 

460 Buchberger, in: Schenke/Graulich/Ruthig (Hrsg.), Sicherheitsrecht des Bundes, 2014, 
BSIG, § 3 Rn. 10. 

461 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Stellungnahme 
zum IT-Sicherheitsgesetz, 20.10.2014, S. 2. 

462 Vgl. Haase, Datenschutzrechtliche Fragen des Personenbezugs, 2015, S. 3; von Lewin- 
ski, Die Matrix des Datenschutzes, 2014, S. 1; Saeltzer, DuD 2004, 218 (218 f.). 

463 Schwartz/Solove, Cal. Law Rev. 2014, Vol. 102, 877 (900). 

464 Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezoge- 
ne Daten“, angenommen am 20. 06.2007, WP 136, S. 3. 

465 Siehe Gerlach, CR 2013, 478 ff., Brink/Eckhardt, ZD 2015, 205 ff.; Pohle/Nink, MMR 
2015, 563 ff. 

466 In einer Studie hat die ENISA bereits darauf hingewiesen, die Rahmenbedingungen 
für CERTs zu verbessern. Dazu wurde unter anderem die Empfehlung ausgesprochen „B.1 
Address legal uncertainty concerning requests, B.2 Designate national/governmental CERTs 
on a specific regulatory footing, B.5 Articulate why CERTs need to process personal data to 
Article 29 Working Party“, siehe ENISA, A flair for sharing — encouraging information exch- 
ange between CERTSs, 2011, S. 67 ff.; ferner Unabhängiges Landeszentrum für Datenschutz 
Schleswig-Holstein, Stellungnahme zum IT-Sicherheitsgesetz, 13.02.2015, das irritiert über 
die Aussage in der Begründung eines Gesetzesentwurfes zum IT-Sicherheitsgesetz war, die 
nach $ 8b BSIG-E übermittelnden Daten seien „üblicherweise rein technischer Natur“, BR- 
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Exemplifizieren lässt sich das Spannungsfeld von Sicherheitsgewährleistung 
und Datenschutz am Beispiel von IP-Adressen, da diese typischerweise zur Be- 
arbeitung von Missbräuchen von IT-Infrastruktur (Abuse Handling) und Netz- 
werk-Monitoring benötigt werden (aa).*°” Die IP-Adresse steht stellvertretend 
für Einzeldaten, die grundsätzlich neben anderen Datensätzen bei Maßnahmen 
zur Gewährleistung der Netz- und Informationssicherheit von den Infrastruk- 
turbetreibern, Diensteanbietern, aber auch den öffentlichen CSIRTs und Behör- 
den erhoben werden könnten (bb).?6® 


aa) Beispiel der IP-Adresse 


Die das Internet bildenden Server und Computer werden durch standardisierte 
Datenaustauschprotokolle*° zu einem Netzwerk verbunden. Der Transport der 
Bitströme erfolgt gemäß dem Internet Protocol (IP).*” Die IP-Adresse dient der 


Identifizierung aller am Internet angeschlossenen Rechner””! und kann als „Tele- 


fonnummer“ eines Computers verstanden werden.’”? Zu unterscheiden sind sta- 
tische und dynamische IP-Adressen. Statische IP-Adressen sind bestimmten 
Netzwerkschnittstellen fest zugewiesen. Dynamische IP-Adressen werden bei 
jeder neuen Netzwerkverbindungsaufnahme neu zugewiesen. Erstere werden 


Drs. 643/14. Dabei handelte es sich um eine relativierte Aussage; der Vorgängerentwurf ging 
davon aus, dass „üblicherweise kein Personenbezug“ bestehe. Diese Formulierung ist nicht in 
die abschließende Gesetzesbegründung übernommen worden. Einen „rechtlichen Graube- 
reich“ identifizierend Einzinger/Skopik/Fiedler, DuD 2015, 723 (724). 

#7 Technische Ausführungen zum Abuse-Verfahren der Deutschen Telekom finden sich 
bei OLG Frankfurt a.M., ZUM-RD 2013, 596 (605); vgl. zu diesem Verfahren auch OLG 
Frankfurt a.M., ZUM-RD 2011, 173. 

468 Engeler/Jensen/Obersteller/Deibler/Hansen, Monitoring durch Informationsfusion 
und Klassifikation zur Anomalieerkennung, 2014, S. 23 nennt als potenziell personenbezoge- 
ne Daten je nach Abwehrmechanismus (Botnetzabwehr, Routing-Anomalien, Netzwerk-Mo- 
nitoring) noch E-Mail-Header, Zeitpunkte der Versendung und Markierung als Spam, URLs, 
IP-Bereich in Routing-Tabellen autonomer Systeme, AS-Nummern, IP-Adressen, die durch 
Traceroutes adressiert werden, Zeitpunkte der Ereignisse, IP-Adressen von unternehmensin- 
ternen und externen Rechnern, Portnummern, Daten aus dem genutzten Protokoll. Zunennen 
sind außerdem Cookies, Unternehmenskennziffern und besondere Webtracking-Funktionen. 

#9 Eine Legaldefinition von Protokolldaten findet sich in $2 Abs. 8 BSIG, die ein Ver- 
ständnis auch über das BSIG hinaus erlaubt. Darunter sind Steuerdaten eines informations- 
technischen Protokolls zur Datenübertragung zu verstehen, die unabhängig vom Inhalt eines 
Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten 
Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfän- 
ger und Sender notwendig sind. 

410 RFC 791 (Internet Protocol). 

#1 RFC 2050 (Internet Registry IP Allocation Guidelines). 

#72 Siehe auch die Ausführungen in BVerfGE 130, 151 (162 ff.). 
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häufig von wenigen Geschäftskunden eingesetzt, Letztere häufig von Access-Pro- 
vidern genutzt, um Internetverbindungen über Wählleitungen anzubieten. 

Die Funktionen von IP-Adressen lassen sich verwenden, um bestimmte inter- 
netbasierte IT-Sicherheitsvorfälle zu detektieren, abzuwehren oder zu verfol- 
gen. Da die IP-Adresse die Identifizierung einzelner Rechner ermöglicht, kön- 
nen so auch von diesen Rechnern ausgehende Angriffe erfasst werden. Sie wird 
beispielsweise gebraucht, um Angriffe von Botnetzen abzuwehren. Im Kontext 
der IT-Sicherheit wird unter einem Botnetz ein Verbund von infizierten (Bot-) 
Rechnern verstanden, die miteinander kommunizieren und zumeist über einen 
zentralen Server kontrolliert und ferngesteuert werden.’ Hauptsächlich wer- 
den diese zu Distributed-Denial-of-Service-(DdoS-)Angriffen (auf Internet- 
diensteanbieter angewendet, um durch das Versenden großer Datenmengen die 
attackierten Server mit dem Ziel der Sabotage zu überlasten. Darüber hinaus 
gibt es eine Vielzahl weiterer Angriffsmodi und Ziele.“ Die IP-Adresse kann 
in den Varianten der Botnetzangriffe zur Identifikation dienen und wird in Ano- 
malieerkennungssystemen eingesetzt, bei denen Kennzahlen des normalen Da- 
tenverkehrs aufgezeichnet werden, um Abweichungen als mögliche Angriffe 
einzustufen. Um in der Rückschau Anomalien erkennen zu können, werden 
IP-Adressen über einen gewissen Zeitraum gesichert und ausgewertet.’ 


bb) Personenbeziehbarkeit von IP-Adressen 


Die Einordnung der IP-Adresse in datenschutzrechtliche Kategorien hat in der 
Literatur und Rechtsprechung in diversen Konstellationen zu einer umfangrei- 
chen Diskussion geführt.*’° Im Kern geht es um die Frage, ob IP-Adressen per- 
sonenbezogene Daten im Sinne von Art. 2 lit. aund Art. 7 lit. fder RL 95/46/EG 
bzw. von Art. 4 Abs. 1 DS-GVO und § 3 Abs. 1 BDSG sind. 

Personenbezogene Daten sind gemäß Art. 4 DS-GVO alle Informationen, die 
sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als 
identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, 
insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer 
Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder 
mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologi- 


43 Eckert, IT-Sicherheit, 2000, S. 72 f. 

474 Dazu Bundesamt für Sicherheit in der Informationstechnik, Die Lage der IT-Sicherheit 
in Deutschland 2016, 2016, S. 18 ff. 

475 Zur Zulässigkeit der siebentägigen Speicherung dynamischer IP-Adressen zur Stö- 
rungserkennung auf Grundlage von $ 100 TKG siehe BGH, NJW 2014, 2500. 

476 Siehe Nachweise bei Haase, Datenschutzrechtliche Fragen des Personenbezugs, 2015, 
S.373 (Fn. 202 und 203); Schmidt-Holtmann, Der Schutz der IP-Adresse im deutschen und 
europäischen Datenschutzrecht, 2014, passim. 
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schen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen 
Identität dieser natürlichen Person sind, identifiziert werden kann. 

Aus IP-Adressdaten lässt sich grundsätzlich unmittelbar noch kein Rück- 
schluss auf die Identität der eine IP-Adresse nutzenden Person schließen.*’’ Eine 
IP-Adresse, zumal wenn sie dynamisch vergeben wird, bezeichnet damit keine 
Einzelangabe über eine „bestimmte Person“. Klärungsbedürftig ist damit, ob 
eine natürliche Person aus einer IP-Adresse „identifizierbar“ ist. 

Zunächst ist zwischen statischen und dynamischen IP-Adressen zu unter- 
scheiden. Die festen, statischen IP-Adressen geben Aufschluss über benutzte 
Rechner und den Zeitpunkt der Nutzung und können als Einzelangaben über 
Personen eingeordnet werden.“ Mittlerweile ist weitgehend anerkannt, dass 
bei statische IP-Adressen eine Person zuordenbar oder bestimmbar ist, weil die 
Identität des jeweiligen Nutzers über mehrere Zwischenschritte mit weiteren 
Angaben objektiv und ohne unverhältnismäßigen Aufwand über die Internet 
Service Provider ermittelbar ist.“ 

Rechtsunsicherheit besteht daher dagegen vor allem bezüglich der dynami- 
schen IP-Adresse. Die Einzelangaben aus der IP-Adresse, etwa über bestimmte 
Zeitpunkte und Serverabrufe, erlauben für sich noch keinen Schluss auf die 
Identität des Nutzers. Umstritten ist daher bei der Bestimmbarkeit, ob ein objek- 
tiver oder ein relativer Maßstab anzulegen ist. 

Nach objektiver Auffassung ist der Personenbezug dann gegeben, wenn ein 
Dritter in der Lage ist, die Identität festzustellen. Auf die individuellen Verhält- 
nisse der datenverantwortlichen Stelle komme es aufgrund der mannigfaltigen 
Möglichkeiten der Datenzusammenführung und Korrelationstechniken“®’ und 
der fehlenden Unterscheidbarkeit von statischen und dynamischen IP-Adressen 
(Infizierung) nicht an.*?! Der subjektive Ansatz geht davon aus, dass von einem 
Personenbezug dann keine Rede sein kann, wenn für die verantwortliche Stelle 
die Bestimmung des Betroffenen mit einem unverhältnismäßigen Aufwand an 
Zeit, Kosten und Arbeitskraft verbunden ist und so das Risiko einer Identifizie- 


#7 Vgl. Erwägungsgrund 30 DS-GVO. 

#78 Vgl. Dammann, in: Simitis (Hrsg.), BDSG, 8. Aufl. 2014, § 3 Rn. 10. 

#9 Zur Zuordenbarkeit BGH, Urteil v. 13.01.2011, Az. II ZR 146/10. Vgl. auch BGH, 
Urteil v. 03.07.2014, Az. III ZR 391/13., Weichert, in: Däubler/Klebe/Wedde/ders. (Hrsg.), 
BDSG, 5. Aufl. 2016, § 3 Rn. 13; differenzierend nach der Art der Registrierung bei der RIPE 
NCC-Datenbank oder bei einem Zugangsanbieter Gerlach, CR 2013, 478 (481). 

480 Zum Personenbezug im Zusammenhang mit Datenkorrelation und -fusion Engeler/ 
Jensen/Obersteller/Deibler/Hansen, Monitoring durch Informationsfusion und Klassifika- 
tion zur Anomalieerkennung, 2014, S. 22; kritisch Krüger/Maucher, MMR 2011, 433 ff. 

481 Schaar, Datenschutz im Internet, 2002, Kap. 3 Rn. 153, 174 f.; Heidrich/Wegener, DuD 
2010, 172 (172); Pahlen-Brandt, K&R 2008, 286 (289): Karg, MMR 2011, 345 (346). 
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rung praktisch vernachlässigt werden kann.*?? Diese Ansicht zieht eine Erwä- 
gung in der Datenschutzrichtlinie heran, nach der bei der Beurteilung der Be- 
stimmbarkeit alle Mittel berücksichtigt werden sollten, die „vernünftigerweise“ 
eingesetzt werden könnten, um die betreffende Person zu bestimmen.*?? Aus 
letzterer Ansicht folgt, dass dieselben Daten für unterschiedliche Stellen einen 
Personenbezug aufweisen können oder auch nicht. Aufgrund je unterschiedli- 
cher Erlaubnistatbestände, Kenntnisse, Mittel und Möglichkeiten können Daten 
für einen Zugangsanbieter personenbezogen sein,*?* nicht aber etwa für einen 
Anbieter von Telemediendiensten.**° 

Die Datenschutzaufsichtsbehörden tendieren dazu, IP-Adressen grundsätz- 
lich als personenbeziehbar zu behandeln. Dies sei bei Internetzugangsanbietern 
und Diensteanbietern der Fall, die Protokolle bzw. Logfiles speichern und die 
Internetnutzer identifizieren könnten. Der Personenbezug sei umso mehr gege- 
ben, je eher der Zweck der Verarbeitung in der Identifizierung von Personen 
liege.**° Der europäische Datenschutzbeauftragte geht in seiner Stellungnahme 
zum Entwurf der NIS-RL ausdrücklich davon aus, dass die zwischen den 
NIS-Behörden ausgetauschten IP-Adressen, die indirekt auf Angreifer oder von 
diesen betroffene Einzelne verweisen, personenbezogene Daten darstellen.*’ 

Im Ergebnis bemisst sich die Bestimmbarkeit des Personenbezugs durch die 
verantwortliche Stelle, der die Daten vorliegen, nach dem Zusatzwissen, den 
Möglichkeiten, dem Aufwand an Zeit, den Kosten sowie der Arbeitskraft, die 
zur Identifizierung einer verantwortlichen Stelle in der entsprechenden Situa- 


482 Dammann, in: Simitis (Hrsg.), BDSG, 8. Aufl. 2014, § 3 Rn. 23, 196; Mantz, ZD 2013, 
625 ff. 

483 RL 96/46/EG, Erwägungsgrund 26. Siehe auch Artikel-29-Datenschutzgruppe, Stel- 
lungnahme 4/2007 zum Begriff „personenbezogene Daten“, 20.06.2007, WP 136, S. 15. 

484 Vgl. EuGH, RS- C-70/10, Rn. 51. 

485 Härting, Internetrecht, 5. Aufl. 2014, Kap. B Rn. 276; Specht/Müller-Riemenschneider, 
ZD 2014, 71 ff. 

486 Artikel-29-Datenschutzgruppe, Stellungnahme 4/2007 zum Begriff „personenbezoge- 
ne Daten“, angenommen am 20.06.2007, WP 136, S. 21; vgl. Düsseldorfer Kreis, Beschluss 
der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./ 
27.11.2009, 2009, S. 2. 

487 European Data Protection Supervisor, Opinion on the Joint Communication of the 
Commission and of the High Representative of the European Union for Foreign Affairs and 
Security Policy on a ‚Cyber Security Strategy of the European Union: an Open, Safe and 
Secure Cyberspace‘, and on the Commission proposal for a Directive concerning measures to 
ensure a high common level of network and information security across the Union, 2013, 
Rn. 58. Der Europäische Datenschutzbeauftragte wird nach Art. 28 Abs. 2 VO (EG) Nr. 1/2001 
konsultiert, wenn ein europäisches Gesetzgebungsverfahren die Datenschutzgrundrechte be- 
trifft. 
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tion zur Verfügung stehen bzw. von ihr erbracht werden müssen.“®® Die Be- 
stimmbarkeit lässt sich — vorbehaltlich der Bewertung im Einzelfall — nach all- 
gemeinen Kriterien bemessen. 

Die Datenschutzrichtlinie 95/46/EG hatte im Erwägungsgrund 23 die heran- 
ziehbaren Mittel und Stellen konkretisiert. Dessen Satz 2 besagt, dass bei der 
Entscheidung, ob eine Person bestimmbar ist, alle Mittel berücksichtigt werden 
sollten, die „vernünftigerweise“ entweder von dem Verantwortlichen für die 
Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betrof- 
fene Person zu bestimmen. Tendenziell wird damit ein objektiver Ansatz zur 
Bestimmung verfolgt. Erwägungsgrund 30 der DS-GVO erweitert den Kreis 
der Mittel. Es sollten „alle Mittel berücksichtigt werden, die von dem Verant- 
wortlichen oder einer anderen Person nach allgemeinem Ermessen wahrschein- 
lich genutzt werden“. Bei der Bestimmung dieser Wahrscheinlichkeit kann nach 
teilweise vertretener Auffassung die Überlegung berücksichtigt werden, dass 
das Datenschutzrecht auch als Vorfeldschutz fungiert. Für den Anwendungs- 
bereich seien Gefährdungspotenziale unabhängig davon mit einzubeziehen, ob 
die Gefahr später eintritt oder in der Vergangenheit eingetreten ist.*®° In dieser 
Lesart kann die frühe Feststellung des Bundesverfassungsgerichts verstanden 
werden, dass es unter den Bedingungen der automatischen Datenverarbeitung 
kein „belangloses Datum mehr [gibt]“.”” Bei einer Gefährdungsprognose wäre 
zu beachten, dass das BSI die Polizeien, die Strafverfolgungsbehörden und die 
Nachrichtendienste nach $ 3 Abs. 1 S. 2 Nr. 13 BSIG unterstützt. Dabei kann es 
zu einem Datenaustausch kommen. Ein solcher Datenaustausch mit Landes- 
und Bundesbehörden findet hinsichtlich der kritischen Infrastrukturen notwen- 
digerweise statt ($ 8b Abs. 2 Nr. 4 BSIG). Dieser kann wiederum an Eingriffs- 
grundlagen (allgemein §§ 161, 163 StPO, ggf. in Verbindung mit §§ 112, 113 
TKG, $ 109 Abs. 9 UrhG) geknüpft sein. Die Prognose darf aber nicht auf die 
Erwartung rechtskonformen Verhaltens reduziert werden, sondern hat auch 
mögliche Begehrlichkeiten in Bezug auf Informationen in die Wertung mit ein- 
zubeziehen.®”' 

Mit den Wertungen der DS-GVO wird der sachliche Anwendungsbereich des 
Datenschutzes sogar tendenziell erweitert. Nach Art. 4 Nr. 1 DS-GVO wird eine 
Person als identifizierbar angesehen, „die direkt oder indirekt identifiziert werden 
kann, insbesondere mittels Zuordnung [...] zu einer Kennung, [...], wie eine 
Kennnummer, [...], zu einer Online-Kennung oder zu einem oder mehreren be- 


488 Haase, Datenschutzrechtliche Fragen des Personenbezugs, 2015, S. 319; für die pau- 
schale Behandlung von Daten, die durch Netzverhalten anfallen, Giesen, RDV 2010, 266 (269). 

489 Haase, Datenschutzrechtliche Fragen des Personenbezugs, 2015, S. 151. 

#0 BVerfGE 65, 1 (45). 

#1 Haase, Datenschutzrechtliche Fragen des Personenbezugs, 2015, S. 394. 
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sonderen Merkmalen, die Ausdruck der physischen, physiologischen, geneti- 
schen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser 
natürlichen Personen sind“, identifiziert werden kann. Zu den Online-Kennungen 
zählt Erwägungsgrund 30 der DS-GVO neben Cookie-Kennungen oder Protokol- 
len Maschinendaten wie IP-Adressen.*” Die Zuordnung „kann Spuren hinterlas- 
sen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen 
beim Server eingehenden Informationen dazu benutzt werden können“, natürli- 
che Personen zu identifizieren. Es kommt dem Wortlaut nach nicht ausdrücklich 
daraufan, ob die verantwortliche Stelle selbst die betroffene Person identifizieren 
kann, sondern es sind auch die Möglichkeiten Dritter zu berücksichtigen. 

In einem vom Europäischen Gerichtshof zu entscheidenden Vorabentschei- 
dungsersuchen ging es um die Frage, ob Daten (dort IP-Adressen) personen- 
bezogen sind, wenn zwar nicht die speichernde Stelle, aber ein Dritter (dort der 
Access-Provider) den Personenbezug herstellen kann.” Der Europäische Ge- 
richtshof entschied, dass eine dynamische Internetprotokoll-Adresse, die von 
einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine 
Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für 
den Anbieter ein personenbezogenes Datum darstellt, wenn er über rechtliche 
Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatz- 
informationen, über die der Internetzugangsanbieter dieser Person verfügt, be- 
stimmen zu lassen.*”* Bei privaten Diensteanbietern genügt als rechtliches Mit- 
tel grundsätzlich die gemäß § 406e Abs. 1 S. 1 StPO mögliche Akteneinsicht, 
über die die vom Dritten an die Staatsanwaltschaft preisgegebene Identität des 
Täters herausgefunden gefunden werden kann.” In seiner Abgrenzung der 
Vorlagefrage hat der Generalstaatsanwalt jedoch in seinen Schlussanträgen 
klargestellt, dass es in dem Verfahren nicht um die Frage geht, ob IP-Adressen 
immer und unter allen Umständen personenbezogene Daten im Sinne des Da- 
tenschutzrechts sind und ob IP-Adressen unvermeidlich als personenbezogene 
Daten zu qualifizieren sind, sobald ein Dritter, wer dies auch sei, in der Lage ist, 
sie zur Identifizierung von Internetnutzern zu verwenden.®” Eine abschließen- 
de Entscheidung über die Frage des Personenbezugs bei IP-Adressen ist daher 
auch mit der Entscheidung des Europäischen Gerichtshofs, die nicht auf Grund- 
lage der DS-GVO erging, nicht getroffen worden. 


#2 Dazu Härting, Jan Philipp Albrecht setzt sich durch: Datenschutzrecht soll ausnahms- 
los für Maschinendaten gelten, CR online Blog vom 09.12.2015, online abrufbar. 

#3 BGH, Beschluss vom 28.10.2014 — VI ZR 135/13, NJW 2015, 368. 

#4 EuGH, C-582/14, Rn. 49. 

#5 Vgl. Anmerkung von Moos, MMR 2016, 842 (846). 

#6 GA Sänchoz-Bordona, Schlussanträge, C-582/14, Rn. 50. 
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In jedem Fall wird in diesem Zusammenhang zukünftig die technische Ent- 
wicklung zu beachten sein. Neben der Unterscheidung der statischen von den 
dynamischen IP-Adressen sind Internetprotokolladressen der Version 4 (IPv4) 
vom Internetprotokoll der Version 6 (IPv6) zu differenzieren. IPv6-Adressen 
werden seit einigen Jahren und in Zukunft zunehmend als feste Adressen verge- 
ben.” Das weltweite Anwachsen der Anzahl der Internetteilnehmer und inter- 
netfähigen Endgeräte hat dazu geführt, dass alle zur Verfügung stehenden 
IPv4-Adressen verteilt sind und Knappheit in diesem Adressraum die Umstel- 
lung auf ein neues Internetprotokoll erforderlich macht. Mit der Einführung von 
IPv6 als neuen Standard werden zukünftig 340 Sextillionen (3,4 x 10°) 
IPv6-Adressen zuteilbar sein.“ Der damit verbundene neue Adressaufbau 
führt dazu, dass allen Rechnern (z.B. allen am Internet der Dinge beteiligten 
und mit einer Netzwerkschnittstelle ausgestatteten Geräte) eine oder mehrere 
IP-Adressen statisch zugeordnet werden können. Die durch IPv4 noch in Teilen 
mögliche Form der Anonymität wird durch die dann nicht mehr erforderliche 
dynamische Vergabe von Adressen grundsätzlich nicht mehr vorhanden sein. 
Die Internetadresse ist dann weltweit eindeutig.’ Das Bundesverfassungsge- 
richt stellt in diesem Zusammenhang fest, dass den Gesetzgeber in Bezug auf 
§ 112 TKG eine Beobachtungs- und ggf. Nachbesserungspflicht treffe, da § 112 
TKG ein erheblich größeres Eingriffsgewicht auf Basis des Internetprotokolls 
Version 6 und des damit verbundenen erhöhten Informationspotenzials abge- 
fragter statischer IP-Adressen erhalten könne.” 

Die Frage nach dem datenschutzrechtlichen Personenbezug von Maschinen- 
daten ist nicht abschließend zu beantworten. Sie ist Ergebnis einer Wertung und 
zukünftig von technischen Umständen abhängig. Für die hier übergeordnete 
Untersuchung der Grenzen der Informationsgenerierung Öffentlicher Stellen zu 
Zwecken der Gewährleistung der Netz- und Informationssicherheit kommt es 
darauf an, ob überhaupt und welche Daten im Einzelnen verarbeitet werden. 
Der Blick auf europäische Regulierungspraktiken macht deutlich, dass die Da- 
tenverarbeitung von dem jeweils gewählten Regulierungsansatz und dem 
Design des Datenaustausches von NIS-Behörden und Unternehmen abhängt. 
Die Ansätze sind mitunter disparat.” Dass eine Behörde wie das BSI oder die 
CSIRTSs tatsächlich etwaige Maschinendaten Daten verarbeiten können, ergibt 
sich im Übrigen aus Anhang I Abs. 2 lit.a 2. Spiegelstrich NIS-RL bzw. $ 7 


#7 Zur Spezifikation RFC 2460; Wegener/Heidrich, CR 2011, 479 ff. 

#8 Siehe Hagen, IPv6, 2. Aufl. 2009, S. 43 ff. 

#9 Hoeren, ZRP 2010, 251 (252 f.). 

500 BVerfGE 130, 151 (199). 

501 Vgl. ENISA, Cyber Security Information Sharing: An Overview of Regulatory and 
Non-regulatory Approaches, 2015, S. 20, 34. 
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BSIG.’” Die Information und Warnung von Nutzern vor Sicherheitslücken, 
Schadprogrammen und Störungen, zu deren Durchführung Dritte mit einbezo- 
gen werden können, kann die Kenntnis der IP-Adresse oder anderer (personen- 
bezogene) Daten voraussetzen.°” 


2. Zur Rechtfertigung der Datenverarbeitung zum Zwecke der Netz- und 
Informationssicherheit 


Die Verarbeitung personenbeziehbarer Daten durch die NIS-Verwaltung setzt 
in tatsächlicher wie rechtlicher Hinsicht eine zulässige Datenverarbeitung durch 
die Betreiber kritischer Infrastrukturen und Anbieter von Telekommunikations- 
und Telemedien voraus. Nur wenn die Infrastrukturbetreiber und Dienstan- 
bieter ihrerseits rechtmäßig Daten zur Gefahrenabwehr verarbeiten dürfen (a), 
kann untersucht werden, nach Maßgabe welcher Kriterien die Datenverarbei- 
tung der zentralen NIS-Behörden gerechtfertigt werden kann (b). 


a) Datenverarbeitung durch Diensteanbieter und Infrastrukturbetreiber 


Eine die Datenverarbeitung rechtfertigende Einwilligung (vgl. $ 3 Abs. 1 BDSG, 
§ 13 Abs. 2 TMG bzw. Art. 6 Abs. 1 lit. a. DS-GVO, § 94 TKG°°%) durch alle von 
der Datenverarbeitung Betroffenen wird regelmäßig nicht vorliegen, obwohl 
diese erforderlich ist, weil für das Einwilligungserfordernis nicht danach diffe- 
renziert werden kann, ob ein rechtmäßiger Nutzer oder ein externer Angreifer 
auf Netze, IT-Systeme und Telemedien zugreift. Schon strukturell und aus 
Gründen der Praktikabilität scheidet das Einholen einer bewussten und eindeu- 
tigen Einwilligung aus. Demnach muss die Datenverarbeitung der Dienste- 
anbieter und Infrastrukturbetreiber zum Zweck der Abwehr von Gefahren für die 
Netze und Informationssysteme auf eine gesetzliche Grundlage gestützt sein. 


502 Vgl. auch § 8d Abs. 2 S. 2 BSIG. 

503 Vgl. Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Stellungnah- 
me zum IT-Sicherheitsgesetz, 20.10.2014, S. 2. Das BSI hat 2014 eine Datenbank mit 16 Mil- 
lionen kompromittierten Benutzerkonten aufgesetzt, mit der Nutzer ihre Daten mit Daten aus 
Botnetzen abgleichen konnten. Die Benutzerkonten bestanden regelmäßig aus Benutzer- 
namen in Form einer E-Mail-Adresse und Passwörtern, dazu BS/, Millionenfacher Identitäts- 
diebstahl: BSI bietet Sicherheitstest für E-Mail-Adressen, Pressemitteilung vom 21.01.2014; 
Horchert, E-Mail-Check beim BSI: Verunsicherte Bürger legen Behördenseite lahm, Spiegel 
Online, 21.01.2014, online abrufbar. 

504 Vgl. Erwägungsgrund 17 und Art. 2 UAbs. 2 lit. f RL 2002/58/EG in der Fassung der 
TL 2009/136/EG. 
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aa) Verarbeitung datenschutzrechtlich geschützter Daten zur Gefahrenabwehr 
im Telekommunikationsrecht 


Eine Rechtsgrundlage für Anbieter von Telekommunikationsdiensten zur Ver- 
arbeitung von Daten zu Zwecken der Abwehr von Cybergefahren für die Netz- 
und Informationssicherheit stellt $ 100 Abs. 1 TKG dar. Auf Grundlage dieser 
Vorschrift können Bestands- und Verkehrsdaten zum Erkennen, Eingrenzen 
und Beseitigen von Störungen und Fehlern an Telekommunikationsanlagen er- 
hoben und verwendet werden.°” Im europäischen Datenschutz ist eine solche 
Vorschrift nicht vorgegeben, die Mitgliedstaaten sind aber nach Art. 6 Abs. 5 
RL 2002/58/EG dazu befugt, sie zu schaffen.’ 

Verkehrsdaten sind gemäß $ 3 Nr. 30 TKG „Daten, die bei der Erbringung 
eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden“. 
Erfasst sind in dieser Definition demnach sämtliche Daten, die mit der Erbrin- 
gung des Dienstes in Zusammenhang stehen, einschließlich also der in den 
technischen Übermittlungs- und Abrechnungssystemen erhobenen oder anfal- 
lenden Daten für den Telekommunikationsvorgang.°”’ Verkehrsdaten sind nicht 
nur (dynamische) IP-Adressen, sondern auch Kopfdaten (Header), die anfallen, 
wenn die Datenübertragung einen Telekommunikationsvorgang darstellt”, 
oder Logfiles.° Die eigentlichen Kommunikationsinhalte sind demnach nicht 
Bestandteil der Protokolldaten. 

Der Begriff der Störung war lange Zeit umstritten. Das Begriffsverständnis ist 
von erheblicher Bedeutung, weil davon abhängt, gegen welche Angriffsarten sich 
die Telekommunikations-Anbieter schützen können. Somit hat die Vorschrift eine 
indirekte Funktion für die Netz- und Informationssicherheit. Der Störungsbegriff 
des $ 100 Abs. 1 TKG entspricht dem aus $ 8b Abs. 4 BSIG und ist demnach funk- 
tional zu verstehen.’!? Dieses umfassende Verständnis ermöglicht es, gegen spe- 
zifische Missbräuche des Internets vorzugehen. So können der Empfang von 


505 Zu den Verkehrsdaten gehört auch hier die IP-Adresse, Begründung der Bundesregie- 
rung des Entwurfs eines Telekommunikationsgesetzes, BT-Drs. 15/2316, S. 90; Wittern, in: 
Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, § 100 Rn. 3. 

506 Vgl. auch Art. 15 und Erwägungsgrund 29. 

307 Vgl. TK-Datenschutzrichtlinie 2002/58/EG, Erwägungsgrund 15; Heun, in: Auern- 
hammer, 4. Aufl. 2014, TKG, Vor. zu $ 88 Rn. 101. 

508 Siehe § 3 Abs. 8 S. 2 BSIG. 

509 896 Abs. 1 TKG ist nicht abschließend, sodass der Begriff für jede Verbindungsart, 
hier: Datenverbindungen, spezifiziert werden muss. Siehe Büttgen, in: Scheurle/Mayen 
(Hrsg.), TKG, 2. Aufl. 2008, § 96, Rn. 3; a. A. Braun, in: Geppert/Schütz (Hrsg.), BeckTKG, 
4. Aufl. 2013, § 96 Rn. 6. 

510 Siehe bereits § 3 D. I. 2. (3); kritisch etwa Mantz, CR 2012, S. 605 (606); Braun, in: 
Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, $ 100 Rn. 11; siehe dagegen BGH, NJW 
2014, 2500 (2502). 
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Spam-Mails und Schad- oder Spionageprogrammen sowie Denial-of-Service- 
Attacken und dergleichen durch Abuse Handling abgewehrt werden.°!! Dabei 
handelt es sich vor allem um Angriffe, die auch die Verfügbarkeit der Netze be- 
einträchtigen können. Letztlich ist darin die gesetzliche Neuregelung von $ 100 
Abs. 1 S. 2 TKG durch das IT-Sicherheitsgesetz begründet.°!? Die Datenverarbei- 
tung ist zu Zwecken der Bekämpfung solcher Störungen erlaubt, die zu einer 
Einschränkung der Verfügbarkeit von Informations- und Kommunikationsdiens- 
ten oder zu einem unerlaubten Zugriff auf die TK- und Datenverarbeitungssyste- 
me der Nutzer führen können. Die Diensteanbieter dürfen folglich ihren Netz- 
werkverkehr prüfen, indem sie sog. Honeypots oder Spamtraps einsetzen.°'? 

Ein weiteres Problem bei der Frage, ob Anbieter von Telekommunikations- 
diensten zur Gefahrenabwehr personenbezogene Daten verarbeiten dürfen, ist 
die zulässige Speicherdauer der erhobenen Daten, die nicht ausdrücklich aus 
den drei in der Vorschrift genannten Verarbeitungsstufen Erkennen, Eingren- 
zen und Beseitigen hervorgeht.°'* Das Speichern von IP-Adressen und Session- 
Daten kann erforderlich sein, um Störungen und Fehler aus der Analyse der 
Daten durch Musterbildung und Anomaliediagnose zu erkennen und prospektiv 
einzugrenzen oder zu beseitigen." Insofern könnte das Tatbestandsmerkmal 
„Erkennen“ das Speichern beinhalten, weil für eine Erkennung Anhaltspunkte 
bestehen müssen, die sich erst aus der retrospektiven Betrachtung gespeicherter 
Daten ergeben. 

Zulässig ist die Datenspeicherung allenfalls, wenn sie geeignet, erforderlich 
und im engen Sinne verhältnismäßig ist, um abstrakten Gefahren entgegenzu- 
wirken. Der BGH erlaubt eine auf sieben Tage begrenzte Speicherung von Ver- 
kehrsdaten, wenn die präventive Erhebung und Speicherung diesem Zweck 


SI! Dies aber bestritt der Kläger in OLG Frankfurt a.M., ZUM-RD 2013, 596, da etwa 
Spam-E-Mails nur Kapazitätsprobleme darstellen, nicht aber die Funktionsfähigkeit beein- 
trächtigten. Die Infrastruktur sei durch etwaige Angriffsarten nicht bedroht. 

512 Leisterer/Schneider, CR 2014, 574 (578). 

53 BR-Drs. 643/14, S. 52. Dabei handelt es sich um Fallen für Schadprogramme im Netz 
bzw. damit ist das Blockieren und Versenden von Schadprogrammen gemeint. 

514 Die DS-GVO löst das Spannungsverhältnis solange nicht auf, wie das Verhältnis zu den 
Richtlinien-Regelungen im Bereich der Telekommunikation besteht. Art. 95 DS-GVO ordnet 
an, dass den Betreibern von TK-Diensten durch die DS-GVO keine zusätzlichen Pflichten 
auferlegt werden, soweit die Pflichten in der RL 2002/58/EG dasselbe Ziel verfolgen. 

515 Der Kläger blieb in einem Streit darüber vor dem LG Darmstadt, Urteil v. 06.06.2007 
— Az. 10 O 562/03, abrufbar unter: http://tImd.in/u/1008, und vor dem OLG Frankfurt a. M., 
MMR 2010, 645 und ZD 2013, 614 erfolglos. Das OLG Frankfurt a.M. stellte nach Einholung 
eines Gutachtens fest, dass zur Speicherung der Logdaten keine Alternative bestehe, um 
Störungen und Fehler zu bekämpfen, und andernfalls die Gefährdung der Kommunikations- 
infrastruktur zu befürchten sei. 
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dient und technisch erforderlich ist.°!° Diese Rechtsprechung dürfte auch nach 
der Novellierung des TKG durch das IT-Sicherheitsgesetz gelten, da die in $ 100 
Abs. 1 TKG genannten Verarbeitungsstufen nicht geändert wurden.’ 

Die Speicherung darf anlasslos erfolgen, solange die Verhältnismäßigkeit der 
Speicherung gewahrt bleibt.'® Mit Blick auf die materielle Gewährleistungs- 
pflicht in § 109 TKG ist dies angemessen. Nicht zuletzt § 88 Abs. 3 S. 1 TKG, 
auf Grundlage dessen die Analyse von Inhaltsdaten, etwa im Rahmen des Ein- 
satzes von Deep-Packet-Inspection-Systemen, gerechtfertigt werden kann,”'? 
streitet für die Rechtmäßigkeit der Erhebung, Speicherung und Verwendung 
personenbezogener Daten zum Zwecke der Gefahrenabwehr. Im Übrigen würde 
eine Speicherung nur dann gegen Unionsrecht, d.h. Art. 15 Abs. 1 und Art. 61 
RL 2002/58/EG, nach denen eine verhältnismäßige Speicherung zur Abwehr 
eines unzulässigen Gebrauchs der Kommunikationssysteme erlaubt ist, versto- 
Ben, wenn der den Mitgliedstaaten eröffnete Beurteilungsspielraum zur Interes- 
senabwägung offensichtlich?” unverhältnismäßig°”' ausgefüllt wird. Dies ist bei 
§ 100 Abs. 1 TKG nicht der Fall. 

Anbieter von Telekommunikationsdiensten können demnach zur Abwehr von 
Gefahren für die Netz- und Informationssicherheit personenbezogene Daten ver- 
arbeiten. 


bb) Verarbeitung datenschutzrechtlich geschützter Daten zur Gefahrenabwehr 
im Telemedienrecht und allgemeinen Datenschutzrecht 


Die Grundsätze zum Umgang mit personenbezogenen Daten im Bereich der 
Telemediendienste legt § 12 TMG fest. Der Diensteanbieter darf personenbezo- 
gene Daten zur Bereitstellung von Telemedien gemäß $ 12 Abs. 1 TMG nur er- 
heben und verwenden, soweit das TMG oder eine andere Rechtsvorschrift, die 
sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewil- 
ligt hat. Das allgemeine Datenschutzrecht ist gemäß $ 12 Abs. 3 TMG subsidiär 
anzuwenden. 

Als Rechtsgrundlage kommt $ 15 Abs. 1 S. 1 TMG in Betracht, der das Erhe- 
ben und Verwenden von Nutzungsdaten ermöglicht, um die Inanspruchnahme 
von Telemedien „zu ermöglichen und abzurechnen“, ohne dass ein Vertragsver- 
hältnis zwischen Anbieter und Nutzer bestehen muss.” Nutzungsdaten sind 


>16 BGH, NJW 2011, 1509 (1511 ff.). In dem betreffenden Fall ging es um IP-Adressen. 
517 Kritisch Rath/Kuss/Bach, K&R 2015, 437 (440). 

518 Vgl. Eckhardt, CR 2003, S. 805 (809). 

519 Heun, in: Auernhammer, 4. Aufl. 2014, TKG, $ 88 Rn. 34. 

5% Zum Acte-clair-Kriterium BGHZ 174, 273 (287). 

51 Zu diesem Kriterium EuGH, NJW 2008, 743 (746). 

52 Spindler/Nink, in: ders./Schuster (Hrsg.), Recht der elektronischen Medien, 3. Aufl. 
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solche personenbezogenen Daten, die bei der Nutzung entstehen und erforder- 
lich sind, um die Inanspruchnahme des Telemediums zu ermöglichen oder ab- 
zurechnen. Wann es Nutzungsdaten für die konkrete Nutzung bedarf und wel- 
cher Art diese sein müssen, ist abhängig von der Art und dem Zweck des Dien- 
stes.° Die Erhebung und Verwendung von Daten wie die IP-Adresse wird 
regelmäßig erforderlich sein, um dem Nutzer den Zugriff auf den Host-Server 
des Telemediums zu ermöglichen. 

Im Kontext der Gefahrenabwehr ist die Norm in mehreren Aspekten problema- 
tisch. Dem Wortlaut nach erlaubt die Norm nicht die Datenverarbeitung zum Zwe- 
cke der Gefahrenabwehr. Zwar können durch den Wortlaut „Inanspruchnahme |...] 
zu ermöglichen“ wohl noch Angriffe auf das Schutzziel der Verfügbarkeit wie 
durch Distributed-Denial-of-Service-Attacken subsumiert werden, weil solche 
Angriffsarten die Inanspruchnahme des Dienstes unmöglich machen können.”* 
Wie bei Anbietern von Telekommunikationsdiensten setzen die Abwehrmaßnah- 
men aber nicht nur das Loggen von Daten voraus, sondern auch deren Speicherung, 
ohne die keine effektive Auswertung der Daten möglich wäre. Eine Speicherung 
von Logdaten über den konkreten Nutzungsvorgang hinaus ist allerdings nur über 
8 15 Abs. 4 S. 1 TMG für Abrechnungsdaten erlaubt. Im Ergebnis sind dem Wort- 
laut nach Schutzmaßnahmen wie Intrusion-Detection-Systeme erlaubt, eine Spei- 
cherung ist jedoch nach der Konzeption der Vorschrift nicht ohne Weiteres mög- 
lich.” 

Denkbar erscheint es, die Datenverarbeitung der Telemediendiensteanbieter 
durch eine entsprechende Anwendung von § 100 Abs. 1 TKG zu rechtfertigen. 
Eine direkte Anwendung scheidet aus, weil die datenschutzrechtlichen Bestim- 
mungen der §§ 91 ff. TKG nur für geschäftsmäßige Telekommunikationsdienste 
gelten (§ 3 Nr. 24 in Verbindung mit § 3 Nr. 6 TKG und § 1 S. 1 TMG). Das In- 
teresse der Telemedienanbieter daran, ihre Informationssysteme vor Angriffen 
zu schützen, ist aber nicht weniger legitim als das der Telekommunikations- 


2015, TMG, § 15 Rn. 2. Da zwischen dem Anbieter und Angreifer typischerweise kein Ver- 
tragsverhältnis besteht, stellt § 14 TMG keine taugliche Rechtsgrundlage zur Cyberabwehr 
dar, zumal IP-Adressen und andere Logdaten keine Bestandsdaten im Sinne der Norm sind. 
Vgl. Müller-Broich, Telemediengesetz, 2012, § 14 Rn. 2; zur möglichen Überschneidung mit 
Nutzungsdaten Jandt/Laue, K&R 2006, 316 (320); zur Behandlung der dynamischen IP-Ad- 
resse als Bestandsdatum im Strafprozessrecht BT-Drs. 16/5846, S. 26 f., 86 f. 

53 BT-Drs. 13/7385, S. 24; Spindler/Nink, in: ders./Schuster (Hrsg.), Recht der elektroni- 
schen Medien, 3. Aufl. 2015, TMG, § 15 Rn. 7. 

54 Meyerdierks/Gendelev, ZD 2013, 626 (627). 

525 Für eine Unzulässigkeit auch der Erhebung und Verwendung zur Störungserkennung 
Hornung, Stellungnahme zum Entwurf eines IT-Sicherheitsgesetzes vom 18.04.2015, A-Drs. 
18(4)284 G, S. 19; ferner auch Stellungnahme des FIfF zum IT-Sicherheitsgesetz vom 
17.12.2014, A-Drs. 18(4)252, S. 4 f., online abrufbar. 
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diensteanbieter. Ohnehin sind mit der durch das IT-Sicherheitsgesetz eingeführ- 
ten materiell-rechtlichen Sicherheitspflicht des $ 13 Abs. 7 TMG die Anbieter 
zur Gewährleistung der IT-Sicherheit verpflichtet.’ Der vergleichbare Verar- 
beitungszweck spricht ebenfalls für eine analoge Anwendung der weitreichen- 
den Norm. 

Dem Argument einer Regelungslücke aber steht zum einen der Wortlaut 
(„nur [...], um“) und zum anderen die Genese der Vorschrift entgegen. Der an 
§ 100 TKG angelehnte $ 15 Abs. 9 TMG-E wurde bewusst nicht eingeführt.’ 
Eine Vorlage des Bundesgerichtshofs beim Europäischen Gerichtshof der Frage, 
ob § 15 Abs. 1 TMG als Rechtsgrundlage zur Abwehr von IT-Angriffen heran- 
gezogen werden kann,’ ergibt im Umkehrschluss, dass $ 100 TKG nicht in 
Betracht kommt, denn andernfalls wäre die Vorlagefrage nicht entscheidungs- 
erheblich gewesen.” 

Wird die Datenverarbeitung zur Gefahrenabwehr grundsätzlich als zulässig 
angesehen, besteht ein Spannungsverhältnis zu $ 13 Abs. 6 TMG.” Danach hat 
der Diensteanbieter grundsätzlich eine anonyme oder pseudonyme Nutzung zu 
ermöglichen. Der BGH hat jedoch anerkannt, dass eine Pseudonymisierung er- 
fasster IP-Adressen untunlich und unzumutbar ist.®! Im Rahmen der summari- 
schen Prüfung der Interessen würden die Güter und Interessen des Betroffenen 
im Übrigen nicht überwiegen.” Demnach besteht das Gebot der Anonymität 
einer auf Datenverarbeitung basierenden Schutzmaßnahme, wenn die Eingriff- 
sintensität, die sich aus der Art der erfassten Daten und der Speicherdauer erge- 
ben kann, verhältnismäßig ist. Grundsätzlich ist die Eingriffstiefe der Maßnah- 
men technisch skalierbar und sie lässt sich an dem Kriterium der Erforderlich- 
keit ausrichten.°°? 


326 Zu den Rechtsfragen des neuen Tatbestands Gerlach, CR 2015, 581 ff. 

57 Ursprünglich sah ein Entwurf zum IT-Sicherheitsgesetz einen $ 15 Abs. 9 TMG-E vor, 
der an $ 100 TKG angelehnt war und der es erlaubt hätte, Logdaten zur Abwehr von Cyber- 
gefahren im Internet zu speichern. Dieser eindeutige Erlaubnistatbestand wurde nicht in die 
Beschlussfassung übernommen. Siehe Referentenentwurf eines IT-Sicherheitsgesetzes, 
Art.2 Nr.3, Stand 18.08.2014, abrufbar unter: http://www.computerundrecht.de/Entwurd_ 
IT-Sicherheitsgesetz_1808.pdf. 

528 BGH, CR 2015, 109 (Vorlagebeschluss an EuGH - Rs. C-582/14). 

52 Bergt, BGH bestätigt: Webserver-Logfiles nicht nach $ 100 Abs. 1 TKG erlaubt, 
CRonline vom 28.10.2014, online abrufbar. 

30 Vgl. Art. 25 Abs. 1, Art. 32 Abs. 1 lit. a DS-GVO. 

51 BGH, Urteil vom 03. Juli 2014 — III ZR 391/13 —, juris, Rn. 8. 

532 Insbesondere sind dies solche aus den Art. 5, 10, 13 sowie dem Art. 2 (in Verbindung 
mit Art. 1) GG mit den entwickelten Ausprägungen. Siehe für das IT-Grundrecht und das 
Verhältnis zum Datenschutz Roßnagel/Schnabel, NIW 2008, 3534 (3538). 

53 Zum Maßstab und zur Abwägungsmethodologie Kramer, in: Auernhammer 4. Aufl. 
2014, BDSG, $ 28 Rn. 70ff. 
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Schließlich stehen der Zulässigkeit der Datenverarbeitung unionsrechtlichen 
Bedenken nicht entgegen. Vor der Verabschiedung der DS-GVO konnte noch 
vertreten werden, dass $ 15 Abs. 1 TMG eine Konkretisierung der unionrechtli- 
chen Grundnorm Art. 7 lit. f RL 95/46/EG (Datenschutz-Richtlinie) sei. Maß- 
gebliches Rechtmäßigkeitskriterium ist dort die zugunsten des Datenverarbei- 
tenden ausfallende Interessenabwägung. Da $ 15 Abs. 1 TMG keinen Spielraum 
für eine Abwägung der grundrechtlich geschützten Interessen lässt, stand die 
Vorschrift mit den unionsrechtlichen Vorgaben im Widerspruch.” Eine uni- 
onsrechtskonforme Auslegung des Tatbestandsmerkmals „Ermöglichen“ wäre 
aufgrund des eindeutigen Wortlauts („Der Diensteanbieter darf [...] nur erheben 
und verwenden“) eine solche contra legem gewesen. Dazu ist der Rechtsanwen- 
der nicht verpflichtet.°°° Gegen den Widerspruch konnte eingewandt werden, 
dass nach Art. 288 Abs.2 und 3 AEUV die Datenschutz-Richtlinie die Mit- 
gliedstaaten nur hinsichtlich des Ziels zur Umsetzung verpflichtet werden und 
demnach im nationalen Recht Erlaubnistatbestände einführen können, die be- 
reits eine abstrakt-generelle Abwägung vornehmen. Dagegen sprach die Recht- 
sprechung des Europäischen Gerichtshofs, der, obgleich die Mitgliedstaaten im 
Rahmen ihres Ermessens Leitlinien für die geforderte Abwägung aufstellen 
können,” im Ansatz von einer Vollharmonisierung der nationalen Rechtsvor- 
schriften durch die Datenschutz-Richtlinie ausging.” Die Richtlinie gebe den 
Mitgliedstaaten sowohl Mindeststandards als auch eine Beschränkung hinsicht- 
lich der Erhöhung des Datenschutzniveaus auf.>?® 

Mit der Anwendung der DS-GVO ist der Normkonflikt entschärft. Nach der 
Aufhebung der Datenschutzrichtlinie durch Art. 99 DS-GVO führt Art. 6 lit. f 
DS-GVO, der Art. 7 lit. f RL 95/46/EG entspricht, zum Abwägungsprinzip.”” 
Die Erwägungen zur DS-GVO zeichnen das Abwägungsergebnis zum Teil vor. 
Die Datenverarbeitung, unter der gemäß Art. 4 Abs. 3 DS-GVO auch die Spei- 
cherung zu verstehen ist, stelle in dem Maße ein berechtigtes Interesse dar, wie 
sie für die Gewährleistung der Netz- und Informationssicherheit notwendig und 
verhältnismäßig ist.’ Im Übrigen werden damit die telemediendatenschutz- 
rechtlichen Vorschriften in den §§ 11 TMG nicht mehr anwendbar sein, da die 
Normen des TMG nicht das Telekommunikationsdatenschutzrecht (RL 2002/58/ 


54 Auf Grundlage der RL 95/46/EG EuGH, C-582/14, Rn. 64. 
55 EuGH (Große Kammer), NJW 2012, 509 (510). 
56 EuGH, C-486/10, C-469/10, CR 2012, 29 (31). 
57 Vgl. EuGH, C-101/01, CR 2004, 286 (290); kritisch Masing, NJW 2012, 2305 (2311). 
58 EuGH, C-486/10, C-469/10, CR 2012, 29 (30). 
3 KOM(2012) 11 endg., Erläuterungen zu Kapitel 2 — Grundsätze, 3.4.2. 
540 Erwägungsgrund 49 DS-GVO. 
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EG in Verbindung mit 89 DS-GVO) umsetzen.’*! Die Datenschutzgrundverord- 
nung ist in allen ihren Teilen verbindlich und gilt in jedem Mitgliedstaat unmit- 
telbar (Art. 288 Abs. 2 S.2 AEUV). Der unionsrechtliche Anwendungsvorrang 
vor dem nationalen Recht reicht so weit, wie der Anwendungsbereich definiert 
ist.” Damit genießt die DS-GVO gegenüber den datenschutzrechtlichen Rege- 
lungen im TMG Vorrang. Sofern kritische Infrastrukturen keine Anbieter von 
Telekommunikationsdiensten und -netzen oder Telemediendiensten sind, kön- 
nen sie ihre Datenverarbeitung zu Zwecken der Cybersicherheit ebenso auf 
Art. 6 lit. f DS-GVO stützen. 


b) Datenverarbeitung durch NIS-Verwaltung 


Nachdem nun die Zulässigkeit der Datenverarbeitung der privaten Internetinf- 
rastrukturbetreiber und Diensteanbieter untersucht wurde, ist zu fragen, wie die 
Verarbeitung personenbezogener Daten im Rahmen der administrativen Infor- 
mationsgenerierung gerechtfertigt werden kann. Die Frage der Rechtfertigung 
stellt sich für das BSI, die Bundesnetzagentur und die CSIRTs insbesondere im 
Zuge der durch das IT-Sicherheitsgesetz eingeführten Meldepflichten (aa). So- 
fern das allgemeine Datenschutzrecht in den Mitgliedstaaten Anwendung fin- 
det,’* bedingt dies nicht nur das Erfordernis einer Rechtsgrundlage, sondern 
auch die Beachtung weiterer datenschutzrechtlicher Prinzipien, die Einfluss auf 
die Effektivität der Generierung von Informationen zur Sicherheitsgewährleis- 
tung haben. Von hervorzuhebender Bedeutung für Informationsgenerierung 
und Produktion von Wissen über die Sicherheit von Netzen und Informations- 
systemen sind die Prinzipien der Datenminimierung und der Grundsatz der 
Zweckbindung. Hinzu kommt daher die Frage, welche Begrenzungswirkung 
auf die Informationsgenerierung die datenschutzrechtlichen Grundsätzen der 
Datenminimierung (bb) und der Zweckbindung (cc) entfalten. 


aa) Zur Rechtfertigung der Datenverarbeitung 


Bei Bestehen eines Personenbezugs ist grundsätzlich das Datenschutzrecht zu 
beachten. Art. 2 NIS-RL stellt für die Datenverarbeitung „gemäß dieser Richt- 
linie“ klar, dass sie nach Maßgabe der Datenschutzrichtlinie respektive der Da- 
tenschutz-Grundverordnung zu erfolgen hat. Erwägungsgrund 72 der NIS-RL 
geht davon aus, dass „der Austausch von Informationen über Risiken und Vor- 
fälle [...] und die Einhaltung der Verpflichtung zur Meldung von Sicherheitsvor- 


541 Keppeler, MMR 2015, 779 (781). 

542 Vgl. Ruffert, in: Calliess/ders. (Hrsg.), EUV/AEUV, 4. Aufl. 2011, AEUV Art. 288 
Rn. 20, Art. 1 Rn. 16 ff. 

58 Zur nachrichtendienstlichen Datenerhebung siehe § 3 D. II. 3. 
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fällen“ die Verarbeitung personenbezogener Daten erfordern könnten. Eben- 
falls geht die deutsche Regelung für die Meldepflicht von Betreibern kritischer 
Infrastrukturen in § 8b Abs. 7 BSIG von der datenschutzrelevanten Verarbei- 
tung aus. 

Die Verarbeitung personenbezogener Daten im Rahmen der NIS-Richtlinie 
erfolgt nach deren Art. 2 nach Maßgabe der Richtlinie 95/46/EG. Diese Daten- 
schutzrichtlinie wird gemäß Art. 94 DS-GVO mit Inkrafttreten der Datenschutz- 
-Grundverordnung aufgehoben. Verweise auf die aufgehobene Richtlinie gelten 
als Verweise auf die Verordnung. Mit Art. 2 DS-GVO wird prinzipiell der Ansatz 
verfolgt, das gesamte Datenschutzrecht allumfassend zu regeln und sämtliche na- 
tionale Normen zu verdrängen.°** Öffnungsklauseln in der DS-GVO ermöglichen 
indes den Mitgliedstaaten spezifische Anforderungen sowie sonstige Maßnah- 
men für eine rechtmäßige Datenverarbeitung präziser zu bestimmen. So können 
die Mitgliedstaaten gemäß Art. 6 Abs. 2 DS-GVO insbesondere die Bestimmun- 
gen zur Datenverarbeitung, die zur Wahrnehmung einer im öffentlichen Interesse 
liegenden Aufgabe dienen, beibehalten oder neu einführen. 

Als spezifische Grundlage für die Datenverarbeitung des BSI im Rahmen der 
Meldepflicht kommt $ 8b Abs. 2 BSIG in Betracht, da der Absatz im systemati- 
schen Zusammenhang mit der Festlegung des BSI als zentrale Meldestelle steht 
und nachdem das BSI zu dieser Aufgabe „die [...] wesentlichen Informationen 
[...] sammeln und auszuwerten“ hat. Allerdings kann darin eine rechtliche Ver- 
pflichtung im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. c, Abs. 3 DS-GVO (vgl. § 4 
BDSG) zu sehen sein, wenn sie zusätzliche Voraussetzungen erfüllt. Verlangt 
wird eine Norm, welche die Verarbeitung personenbezogener Daten eindeutig 
für zulässig erklärt.°® Jedenfalls aber reicht eine die Datenverarbeitung voraus- 
setzende bloße Aufgabenbeschreibung nicht aus.” Etwas anderes ergibt sich 
nicht aus $ 8b Abs. 7 S. 1 BSIG. Danach soll eine über die $ 8b BSIG hinaus- 
gehende Verarbeitung und Nutzung zu anderen Zwecken unzulässig sein. Dar- 
aus folgt aber im Umkehrschluss lediglich die Konkretisierung der Zweckbe- 
stimmung. Im Übrigen sind nach $ 8b Abs. 7 S.3 BSIG die Regelungen des 
BDSG und somit das allgemeine Datenschutzrecht anzuwenden. Für die Daten- 


544 Keppeler, MMR 2015, 779 (781). 

545 Gola/Klug/Körffer, in: Gola/Schomerus (Hrsg.), BDSG, 12. Aufl. 2015, $4 Rn. 8; 
schwächer Bäcker, in: Wolff/Brink (Hrsg.), Datenschutzrecht, 2013, BDSG, § 4 Rn. 6, dem 
zufolge es ausreiche, dass sich etwa die Art der Daten und der Zweck der Verarbeitung durch 
Auslegung ermitteln lasse. 

546 Sokol, in: Simitis (Hrsg.), BDSG, 8. Aufl. 2014, $4 Rn. 15; Weichert, in: Däubler/ 
Klebe/Wedde/ders. (Hrsg.), BDSG, 5. Aufl. 2016, § 4 Rn. 3; letztlich auch Bäcker, in: Wolff/ 
Brink (Hrsg.), Datenschutzrecht, 2013, BDSG, § 4 Rn. 6. 
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verarbeitung der Bundesnetzagentur im Rahmen der Meldepflicht scheidet aus 
den gleichen Gründen $ 109 Abs. 5 TKG als besondere Rechtsgrundlage aus. 

Somit kommt wegen des Verweises in $ 8b BSIG auf das allgemeine Daten- 
schutzrecht, sofern die Mitgliedstaaten nicht von ihrer Abweichungskompetenz 
Gebrauch machen, als zentrale Rechtsgrundlage Art. 6 DS-GVO für die Daten- 
verarbeitung der NIS-Verwaltung in Betracht, insbesondere Art.6 Abs. 1 
UAbs. 1 lit. e DS-GVO stellt auf die Erfüllung einer im öffentlichen Interesse 
liegenden Aufgabe ab.°*’ Ein pauschaler Rückgriff auf das „öffentliche Interes- 
se“ ist für sich noch nicht geeignet, die Datenverarbeitung der Verwaltung zu 
Zwecken der Gewährleistung von Netzen und Informationssystemen zu recht- 
fertigen°*® Das öffentliche Interesse ist kein isoliertes Rechtsgut, sodass stets 
eine spezifische Abwägung zwischen der im öffentlichen Interesse stehenden 
Aufgabe und den Interessen und Rechten der betroffenen Personen stattzu- 
finden hat.’*” Überwiegen letztere Interessen, ist die Datenverarbeitung nicht 
rechtmäßig.” 

Die Rechtfertigung richtet sich folglich nach der festzustellenden Eingriffs- 
qualität und -tiefe. 

Die gegenläufigen Interessen des öffentlichen Interesses und die Belange des 
Datenschutzes auf Regelungsebene einer sekundärrechtlichen Verordnung oder 
eines Bundesgesetzes auszugleichen, ist aufgrund der erforderlichen Abstrakti- 
on kaum möglich. Die Abwägung richtet sich nämlich nach der konkreten Art 
und Weise der Datenverarbeitung durch öffentliche Stellen. Die Anwendungs- 
szenarien der Datenverarbeitung sind dabei entwicklungsoffen und dyna- 
misch.°°' Für die Frage nach dem Eingriffsgewicht ist letztlich auf den Anlass 
und den Umfang der Speicherung, den Zweck der Verwendung und die Art und 
Weise der Abfrage (offen oder heimlich) abzustellen. 


547 Vgl. EDPS, Opinion of the European Data Protection Supervisor on the Joint Commu- 
nication of the Commission and of the High Representative of the European Union for For- 
eign Affairs and Security Policy on a ‚Cyber Security Strategy of the European Union: an 
Open, Safe and Secure Cyberspace‘, and on the Commission proposal for a Directive concer- 
ning measures to ensure a high common level of network and information security across the 
Union, 2013, S. 19 Rn. 61. 

548 Eingeler/Jensen/Obersteller/Deibler/Hansen, Monitoring durch Informationsfusion 
und Klassifikation zur Anomalieerkennung, 2014, S. 88. 

59 Dammann/Simitis, in: EG-Datenschutzrichtlinie, 1997, Art. 7 Rn. 11; vgl. Frenzel, in: 
Paal/Pauly, DS-GVO, 2017, Art. 6 Rn. 23. 

550 Vgl. Erwägungsgrund 47 DS-GVO bzw. 30 RL 95/46/EG. 

51 Siehe Roos/Schumacher, Monitoring durch Informationsfusion und Klassifikation zur 
Anomalieerkennung, 2014, S. 151 mit Überlegungen eines verpflichtenden kooperativen und 
datenintensivem Monitorings zwischen privaten und Öffentlichen Stellen. 

52 Zur Rechtfertigung der Datenverarbeitung von CSIRTs Cormack, Incident Response 
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bb) Grundsatz der Datenminimierung 


Zu den Grundsätzen der Verarbeitung gehört die Datenminimierung. Personen- 
bezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das 
für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (vgl. Art. 5 
Abs. 1 lit.c DS-GVO). Der Grundsatz ist ein Aspekt des Systemdatenschutzes 
und stellt eher einen Programmsatz denn eine zwangsbewährte Zielvorgabe 
dar.’ Das Telos der Norm schließt ein, Gefahren eines Missbrauchs von Daten 
präventiv durch Datenvermeidung zu begegnen. Dem Schutz vor einer übermä- 
Bigen Datengenerierung dient prinzipiell auch der Grundsatz der Erforderlich- 
keit. Eine Datenerhebung muss zur Aufgabenerfüllung der verantwortlichen 
Stelle stets erforderlich sein (vgl. Art. 6 Abs. 1 lit. b bis f DS-GVO).”* Eine Da- 
tenerhebung ist nicht notwendig, wenn die Interessen auch ohne personenbezo- 
gene Informationen gewahrt werden können. Der Grundsatz ist jedoch nicht so 
auszulegen, dass eine Verarbeitung personenbezogener Daten absolut zwingend 
notwendig sein muss.’ Jedenfalls aber folgt aus dem Kriterium der „Erforder- 
lichkeit“, dass personenbezogene Daten nicht auf Vorrat erhoben werden kön- 
nen. Die Erheblichkeit des Grundrechtseingriffs bemisst sich ferner danach, ob 
die Daten unverzüglich gelöscht werden.‘ Maßgebliche Leitlinien zur Reich- 
weite staatlicher Datenverarbeitung gerade im Umgang mit Verkehrsdaten erge- 
ben sich aus den strengen Vorgaben des Europäischen Gerichtshofs’ und des 
Bundesverfassungsgerichts®°® zur sog. Vorratsdatenspeicherung. Der Europäi- 
sche Gerichtshof hatte die maßgebliche Richtlinie” für ungültig erklärt, weil 
sie die Grundrechte aus den Artikeln 7 und 8 GRCh in unverhältnismäßigem 
Umfang einschränke.°‘ Beide Gerichte hielten allerdings eine solche anlasslose 


and Data Protection, Version 2.0, 2011, S. 3 ff.; vgl. ENISA, A flair for sharing — encouraging 
information exchange between CERTs, 2011, S. 12 f. 

53 Vgl. zur Datensparsamkeit Roßnagel, DuD 1999, 253 ff. 

554 Gallwas, Zum Prinzip der Erforderlichkeit im Datenschutzrecht, in: Haft/Hassemer/ 
Neumann/Schild/Schroth (Hrsg.), Strafgerechtigkeit, Festschrift für A. Kaufmann, 1993, 
S. 819£. 

555 Vgl. GolalSchomerus, in: dies. (Hrsg.), BDSG, 12. Aufl. 2015, $ 28, Rn. 15. 

556 BVerfGE 120, 378 (399). 

557 EuGH, verbundene Rechtssachen C — 293/12 und C — 594/12, EuZW 2014, 459. 

558 BVerfGE 125, 260. 

5 Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 
über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher 
elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt 
oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG (ABl. L 105 vom 13.04. 
2006, S. 54). 

360 Zu unterscheiden ist diese Entscheidung vom Beschluss des BVerfG vom 24. Januar 
2012 - 1 BvR 1299/05. Gegenstand der Verfassungsbeschwerde waren hier insbesondere die 


E. Besondere Grenzen der Informationsgenerierung 171 


Massenspeicherung der Daten nicht per se für rechtswidrig. Es müssen aller- 
dings stets eng definierte Voraussetzungen zur Gewährleistung der Grundrech- 
te und der Verhältnismäßigkeit geregelt sein. Für die Rechtmäßigkeit der Daten- 
verarbeitung im großen Umfang kommt es darauf an, ob sie insgesamt nachtei- 
lig in der „Überwachungs-Gesamtrechnung“ ist.°°' Ausgeschlossen ist danach 
eine Gesetzgebung zur Speicherung von Telekommunikationsverkehrsdaten, 
die auf eine möglichst flächendeckende vorsorgliche Speicherung für die Ge- 
fahrenprävention nützlicher Daten zielte. Der Gesetzgeber ist bei der Erwägung 
von Speicherungspflichten oder -berechtigungen im Hinblick auf „die Gesamt- 
heit der verschiedenen schon vorhandenen Datensammlungen zu größerer Zu- 
rückhaltung“ gezwungen. Die Freiheitswahrnehmung der Bürger dürfe „nicht 
total erfasst oder registriert“ werden.’ Ausgeschlossen ist eine demnach Da- 
tensammlung, auch wenn sie ausschließlich für Zwecke der Netz- und Informa- 
tionssicherheit vorgesehen wäre und nicht etwa auch für die Strafverfolgung, 
die im „Zusammenspiel mit anderen vorhandenen Dateien zur Rekonstruierbar- 
keit praktisch aller Aktivitäten der Bürger“ führte. Das Bundesverfassungs- 
gericht zählt dieses Freiheitskriterium zur „verfassungsrechtlichen Identität der 
Bundesrepublik Deutschland“. Insofern sei auch der Spielraum für „weitere an- 
lasslose Datensammlungen über den Weg der Europäischen Union erheblich 
geringer“. 

Das Zurückhaltungsgebot für staatliche Datensammlungen, die telekommu- 
nikationsrechtliche Verkehrsdaten umfassen, gilt vorrangig für die Vorratsda- 
tenspeicherung. Die in $ 113b TKG nach den Urteilen des Europäischen Ge- 
richtshofs und des Bundesverfassungsgerichts wieder eingeführte Vorratsdaten- 
speicherung ist von der Datenverarbeitung zur Gewährleistung der Sicherheit 
abzugrenzen. Die im Rahmen der Vorratsdatenspeicherung gespeicherten Daten 
unterliegen einer Verwendungsbestimmung, die es grundsätzlich ausschließt, 
dass die Daten systematisch von den Netz- und Informationssicherheitsbehör- 
den eingesetzt werden. Die Verwendungsbestimmung für die gespeicherten 
Verkehrsdaten aus $ 113c Abs. 1 TKG lässt nur zu, dass die Daten an eine Straf- 
verfolgungsbehörde oder an eine Gefahrenabwehrbehörde der Länder übermit- 


Verfassungsmäßigkeit der Regelungen über die Verpflichtung geschäftsmäßiger Anbieter 
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telt werden oder durch den Erbringer öffentlich zugänglicher Telekommunikati- 
onsdienste für das manuelle Auskunftsverfahren nach $ 113 TKG verwendet 
werden. Das manuelle Auskunftsverfahren wiederum dient der Verfolgung von 
Straftaten und Ordnungswidrigkeiten, der Gefahrenabwehr und der Erfüllung 
nachrichtendienstlicher Aufgaben. Eine Berechtigung zum Zugriff auf diese 
Daten ist aber nach $ 113 Abs. 2 S. 1 TKG nur gegeben, wenn eine gesetzliche 
Bestimmung auf $ 113 Abs. 1 TKG Bezug nimmt und dieser Stelle die Erhe- 
bung der Daten erlaubt.’® 

Den NIS-Behörden ist der Zugriff auf gespeicherte Vorratsdaten nicht er- 
laubt. Sie werden auch nicht primär zu Zwecken der Strafverfolgung aktiv. Die 
Datenspeicherung bei den Unternehmen, bei denen die NIS-Behörden Daten 
generieren, ist obligatorisch. Soweit dort auf Grundlage der Gefahrabwehrbe- 
fugnisse eine begrenzte Speicherung stattfindet, handelt es sich auch nicht um 
eine „weitreichende Vorratsdatenspeicherung“,°°* zumal auch dort der Zugriff 
von Polizeien und Strafverfolgungsbehörden nicht vorgesehen ist.’ Den mate- 
riell-rechtlichen Sicherheitspflichten ist keine ausdrückliche Pflicht zur voll- 
automatisierten, anlasslosen und einzelfallunabhängigen Datenerhebung zu 
entnehmen. Auch wenn den Betreibern und Anbietern die Pflicht zur Netz- und 
Informationssicherheit nach dem Stand der Technik aufgegeben ist ($ 8a BSIG, 
8 109 TKG und $ 13 Abs. 7 TMG), bieten die datenschutzrechtlichen Eingriffs- 
grundlagen ($ 100 TKG „darf“, § 15 Abs. 1 TMG „darf“) den Privaten einen 
Abwägungsspielraum. Die auf Grundlage dieser Vorschriften zulässige Daten- 
speicherung ist primär für eigene Interessen zulässig. Die Telemediendienste- 
und Telekommunikationsdiensteanbieter dürfen kurzfristig Nutzungs- bzw. 
Verkehrsdaten zur Abwehr von Gefahren für die eigene Infrastruktur speichern. 
Eine Vorratsdatenspeicherung ist gesetzlich nicht für diese Zwecke vorgesehen. 

Bedenken unter der Leitfrage der Informationsgenerierung und Wissenspro- 
duktion sind schließlich nicht gegen die rechtliche Ausgestaltung der Datenver- 
meidung vorzubringen, sondern gegen das Prinzip als solches. Ungeachtet vor- 
gebrachter Zweifel, ob Datenminimierung überhaupt ein realistisch erreichba- 
res Ziel moderner Regulierung sein kann,’ stellt sich die Kontrollfrage nach 


53 Z.B. 822 BKAG; Graf, in: ders. (Hrsg.), BeckOK StPO, 23. Ed. 2015, TKG, $ 113 
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im Sinne des $ 100 Abs. 3 und 4 TKG. Siehe dazu Schuster/Sassenberg, CR 2011, 15 (17 f.). 
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den epistemischen Implikationen dieses datenschutzrechtlichen Prinzips. Die 
Datenminimierung führt zu einer Informationsminimierung und potenziell zu 
einer Wissensminimierung. Die Reduzierung von Datenmengen kann erkennt- 
nishemmend wirken, da der Überraschungswert, der sich aus der Informations- 
verarbeitung ergibt, grundsätzlich geringer als bei großen Datenmengen ist. 
Informationswerte, die über das bereits Bekannte hinausgehen, sind bei der 
Auswertung von kleinen Datenmengen geringer als bei großen Datenmengen.’ 
Kleinere Datenmengen erfordern mehr Wissen darüber, was gesucht wird, d.h. 
der Fund muss besser antizipiert werden. Aus Datenmengen, die eine größere 
Anzahl an Verknüpfungsmöglichkeiten zulassen, können grundsätzlich eher 
Mehrwerte, die durch nicht vorhersehbare Korrelationen entstehen, generiert 
werden, als aus solchen mit einer geringeren Daten- und Informationsdichte und 
damit weniger Verknüpfungsmöglichkeiten. Wissensgenerierungsprozesse sind 
aber auf eine hohe (maschinelle) Assoziationsfähigkeit angewiesen.’ Sollen 
die Gefahren ungewünschter, den Einzelnen in seinen Persönlichkeitsrechten 
treffender Profilbildungen vermieden werden, müssen die Verwaltung wie die 
Unternehmen Anonymisierungs- und Pseudonymisierungstechniken einsetzen, 
die einen möglichst schonenden Ausgleich der epistemischen Bedürfnisse der 
NIS-Verwaltung mit den Belangen des Datenschutzes begünstigen. 


cc) Zweckbindung und Regelungstiefe 


Aus dem allgemeinen Datenschutzrecht ergibt sich zunächst für die Datenverar- 
beitung der allgemeine Grundsatz der Zweckbindung. Personenbezogene Daten 
müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und 
dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiter- 
verarbeitet werden (vgl. Art. 5 Abs. 1 lit. b DS-GVO).” Die Zweckbindung soll 
sicherstellen, dass die Daten nur für den Zweck verarbeitet werden, für den sie 
erhoben worden sind (sog. Zweckidentität).°’° Erforderlich ist für die Datenerhe- 
bung demnach eine erkennbare Zielsetzung. Aufgrund fehlender bereichsspezi- 
fischer Datenschutzregelungen in der NIS-RL als auch in den einfachgesetzli- 
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chen Rechtsgrundlagen für die behördliche Datenerhebung im BSIG, TKG oder 
im TMG, mangelt es an einer expliziten, präzisen Zweckbestimmung. °”! 

Das Gebot der präzisen Festlegung der Verwendungszwecke schließt aber 
eine weite Fassung der Zweckbestimmung nicht aus. Bereits das Volkszählungs- 
gesetz, das Gegenstand des Volkszählungsurteils des Bundesverfassungsge- 
richts war, fasste den Zweck der Datenerhebung notwendig weit, da mit dem 
Gesetz eine Datenerhebung zu statistischen Zwecken beabsichtigt war. Es ge- 
hört zum Wesen der Statistik, dass die Daten nicht für eine a priori festgelegte 
Aufgabe verwendet werden.” Ähnlich verhält sich die Datenverarbeitung zu 
wissenschaftlichen Zwecken, die sich ob der möglichst offenen Forschungs- 
ergebnisse nicht vorab durch enge Zwecke binden lässt. Das Bundesverfas- 
sungsgericht erkannte deshalb sogar das Bedürfnis nach der Vorratsdatenspei- 
cherung an.’ Lediglich eine zweckfreie Datenverarbeitung wäre von vorne- 
herein verfassungsrechtlich unzulässig. Hingegen dürfte es unschädlich sein, 
wenn der (eindeutige) Zweck indirekt ermittelbar ist. Das Bundesverfassungs- 
gericht lässt zumindest für die Anforderung an die Normenklarheit genügen, 
dass der Gesetzeszweck in Verbindung mit den Gesetzgebungsmaterialien deut- 
lich wird, wobei es ausreicht, dass sich der Gesetzeszweck aus dem Zusammen- 
hang ergibt, „in dem der Text des Gesetzes zu dem zu regelnden Lebensbereich 
steht“.>7* 

Die Datenschutz-Grundverordnung macht nunmehr in Art. 6 Abs. 3 UAbs. 2 
S. 1, wenn auch sprachlich unglücklich, deutlich, dass der Zweck für Datenver- 
arbeitungen, die auf Art. 6 Abs. 1 UAbs. 1 lit.c und e gestützt werden, nicht 
notwendig festgelegt sein muss, sondern dass er sich aus dem Kontext der 
betimmten Aufgabe ergeben kann, die erfüllt wird.°” 

Die Ermittlung des Zwecks der Datenverarbeitung erfordert mithin eine Ge- 
samtbetrachtung des europäischen und nationalen NIS-Rechts. Der Zweck der 
etwaigen Verarbeitung personenbezogener Daten lässt sich den in der NIS-RL 
zugewiesenen Aufgaben der NIS-Akteure entnehmen. Zwar verpflichtet Art. 8 
NIS-RL die Mitgliedstaaten lediglich dazu, die „für die Sicherheit von Netz- 
und Informationssystemen zuständige nationale Behörden“ zu benennen. Ge- 
mäß Art. 8 Abs. 2 überwachen sie die Anwendung der Richtlinie auf nationaler 
Ebene. Aus den weiteren in der NIS-RL statuierten Aufgabenzuweisungen in 
Art. 15 und 17 NIS-RL ergibt sich jedoch, dass die NIS-Behörden die Sicherheit 
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der Netz- und Informationssysteme bewerten und beurteilen. Diese Aufgabe ist 
an die spezifische Definition der Schutzziele der Sicherheit von Netzen und 
Informationssystemen gebunden.’”° Die Datenverarbeitung ist damit auf die 
Beurteilung der Gefahr der Verfügbarkeit, Vertraulichkeit und Integrität von 
Netzen und Informationssystemen begrenzt. Ebenso lässt sich für die CSIRTs 
der Zweck einer Verarbeitung personenbezogener Daten ermitteln. Diese sind 
für die „Bewältigung von Risiken und Vorfällen“ zuständig. Das Aufgabenpro- 
fil wird unter Punkt 2 des Anhangs I der NIS-RL näher spezifiziert. Im Schwer- 
punkt hat ein CSIRT die Sicherheitsvorfälle auf nationaler Ebene zu überwa- 
chen und zu analysieren, Frühwarnungen auszugeben und Informationen über 
Risiken und Vorfälle zu verbreiten und bekanntzugeben sowie auf Risiken zu 
analysieren. Die Anknüpfungspunkte Sicherheitsvorfall und Risiko sind durch 
die Definition in Art. 4 Nr. 7 und Nr. 9 NIS-RL ebenfalls rechtlich begrenzt. 
Daraus lässt sich ableiten, dass das CSIRT Erkenntnisse über Umstände und 
Ereignisse zu generieren hat, um nachteilige Auswirkungen für die Sicherheit 
zu ermitteln. Die Erhebung personenbezogener Daten führt über keine Aufga- 
benzuweisung zu einer operativen Befugnis der genannten NIS-Akteure. Die 
Datenverarbeitung zum Zwecke der Netz- und Informationssicherheit ist nicht 
auf Repression oder Verhaltenssteuerung angelegt. Soweit den Akteuren die 
Aufgabe eines Informationsaustausches in der Kooperationsgruppe (Art. 11 
NIS-RL) oder dem CSIRTs-Netzwerk (Art. 12 NIS-RL) zugewiesen ist, stellt 
der Datenaustausch mit anderen Behörden und Stellen eine selbstständige Ver- 
arbeitungsstufe dar, weshalb sich die datenschutzrechtliche Rechtmäßigkeit 
dort nach der Zulässigkeit einer Zweckänderung bemisst.°”’ 

Problematisch ist hingegen, wie sich die gemäß Art. 8 Abs. 6 NIS-RL mögli- 
che Zusammenarbeit mit nationalen Strafverfolgungsbehörden zur Zweck- 
ermittlung verhält. Gemäß Art. 8 Abs. 6 NIS-RL „konsultieren“ die NIS-Behör- 
den mit den zuständigen nationalen Strafverfolgungsbehörden. Aus Erwägungs- 
grund 62 der NIS-RL ergibt sich, dass die Zusammenarbeit der NIS-Behörden 
mit den Strafverfolgungsbehörden dazu dient, strafrechtlich relevante Handlun- 
gen, die zu Sicherheitsvorfällen geführt haben, zu ermitteln, aufzuklären und 
zu verfolgen. Allerdings ergibt sich aus Art. 8 Abs. 6 NIS-RL unmittelbar, dass 
die zuständigen NIS-Behörden „nach Maßgabe des nationalen Rechts“ mit den 
Strafverfolgungsbehörden zusammenarbeiten. 

Nach deutschem Datenschutzrecht ist eine Übermittlung personenbezogener 
Daten nicht unzulässig. Gemäß $ 15 Abs. 1 Nr. 1 BDSG ist die Übermittlung 
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durch öffentliche Stellen zulässig, wenn sie zur Erfüllung der in der Zuständig- 
keit der übermittelnden Stelle oder des Dritten, an den die Daten übermittelt 
werden, liegenden Aufgaben erforderlich ist. Keine andere Wertung ergibt sich 
aus Art. 6 Abs. 3 DS-GVO. Den NIS-Behörden ist keine originäre Aufgabe zur 
Strafverfolgung zugewiesen. Insofern ist die Übermittlung von Daten daran ge- 
bunden, dass die empfangende Stelle eine öffentliche Aufgabe wahrnimmt. Die- 
se ist separat zu ermitteln und bedarf einer eigenen Zweckprüfung. Eine Gefahr 
der Umgehung des formalisierten Strafprozessrechts ist demnach nicht zu be- 
fürchten. Das BSI unterstützt Strafverfolgungsbehörden gemäß $ 3 Abs. 1 S.2 
Nr. 13 BSI auch nur auf Anforderung. Sollten in diesem Rahmen personenbezo- 
gene Daten übermittelt werden, wären die Voraussetzungen einer eigenständi- 
gen Verarbeitungsphase zu prüfen. 

Es kann damit festgehalten werden, dass sich aus dem NIS-Recht der Zweck 
einer etwaigen Verarbeitung personenbezogener Daten ermitteln lässt und ein 
Schutz vor Zweckentfremdung grundsätzlich besteht. Die etwaig verarbeiteten 
personenbezogenen Daten dürfen zum technisch-analytischen Zwecke der 
Netz- und Informationssicherheit verwertet werden. 

Mit Blick auf die Ausnahmen von der Anwendung der Datenschutz-Grund- 
verordnung und der den Mitgliedstaaten eröffneten Möglichkeit, die Datenver- 
arbeitung im öffentlichen Interesse oder durch öffentliche Stellen mittels spe- 
zifischerer Regelungen auszugestalten (Art. 6 Abs. 2 DS-GVO), stellt sich die 
Frage nach weitergehenden Datenschutzregelungen für den Bereich der Netz- 
und Informationssicherheit für die nationale Ebene. Bereichsspezifischer Rege- 
lungen bedürfte es insbesondere bei besonderen verfassungsrechtlichen Anfor- 
derungen an die Regelungstiefe des Datenschutzes. 

Das Bedürfnis nach einem Datenschutz im Bereich der Netz- und Informati- 
onssicherheit mit einer besonderen Regelungsdichte könnte aus der hohen Ein- 
griffsintensität folgen, die sich bei sicherheitsrechtlichen Maßnahmen wie Vor- 
ratsdatenspeicherung, Rasterfahndungen’’® oder automatisiertrn Kennzeiche- 
nerfassung””” durch die Verdachtslosigkeit und die damit erhöhte Streubreite 
erfasster Daten ergibt. Die Datenverarbeitung zur Gewährleistung der Netz- und 
Informationssicherheit ist grundsätzlich nicht an Verdachtsstufen gebunden. 

Aus dem Sicherheitsrecht ist für das Verhältnis von Generalbefugnis zur Spe- 
zialermächtigung das Regelungsprinzip bekannt, nach dem sich die Anforderun- 
gen an die Bestimmtheit und Klarheit der Eingriffsgrundlage nach dem Schwe- 
regrad des möglichen Grundrechtseingriffs bestimmen.°® Das Erfordernis spe- 
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zialgesetzlicher Regelungen könnte aus dem qualifizierten Parlamentsvorbehalt 
im Datenschutz folgen. Im Volkszählungsurteil des Bundesverfassungsgerichts 
war mit dem Erfordernis einer formell-gesetzlichen Rechtsgrundlage°®! die Idee 
verbunden, den informationellen Datenumgang des Staates unter Rechtferti- 
gungszwang zu setzen. Der qualifiziertere Gesetzesvorbehalt erfordert nicht nur 
eine Regelung des bloßen „Ob“, sondern auch des „Wie“ der Datenverarbeitung. 
Die Normierungspflicht betrifft sowohl die Frage, „ob ein bestimmter Gegen- 
stand überhaupt gesetzlich geregelt sein muss, als auch, wie weit diese Regelun- 
gen im Einzelnen zu gehen haben“. Der Grad der Bestimmtheit bemisst sich 
nach dem zu schützenden Rechtsgut und der Art und Schwere seiner Gefähr- 
dung. Die Bestimmtheit einer Norm ist Bezugspunkt für die Eignung, Erforder- 
lichkeit und Angemessenheit der Ermächtigung.°® Neben der Einhaltung des 
Gebots der Normbestimmheit verlangt das Gericht das Einhalten des Gebots der 
Normenklarheit.’®* Normenklarheit zielt darauf, dass der Gehalt einer Regelung 
erkennbar, nachvollziehbar und verständlich und somit anwendungsfreundlich 
ist. Der Normadressat muss die Rechtslage anhand der Regelung so erfassen 
können, dass er sein Verhalten an ihr auszurichten vermag.°®” Das Gebot der 
Normenbestimmtheit zielt darauf, dass der Gesetzgeber dafür Sorge trägt, „dass 
das Notwendige geschieht“. Umgekehrt steigen aber die Anforderungen an die 
Regelungsdichte mit der Intensität des Grundrechtseingriffs, sodass gleichzeitig 
die Handlungsspielräume der Exekutive abnehmen. Die Anforderungen an die 
Normenbestimmtheit sind insbesondere im Sicherheitsrecht konkretisiert wor- 
den. Dem Europäischen Gerichtshof lässt sich in seiner Rechtsprechung zur Vor- 
ratsdatenspeicherungsrichtlinie die Forderung nach Verrechtlichung entneh- 
men. Im Sinne eines unionsrechtlichen Parlamentsvorbehalts und der grund- 
rechtlichen Wesentlichkeitslehre des Bundesverfassungsgerichts”’ ist die 
Forderung zu verstehen, dass der europäische Gesetzgeber „klare und präzise 
Regeln“ aufstellt, sodass die Personen „über ausreichend Garantien verfügen“, 
die einen wirksamen Schutz vor Missbrauchsrisiken ermöglichen. °® 

Die Besinnung auf den Kontext, aus dem der datenschutzrechtliche Parla- 
mentsvorbehalt stammt, macht indessen deutlich, dass allgemeine datenschutz- 
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rechtliche Schutzbestimmungen das Gebot der Normenbestimmtheit erfüllen 
können. Das Bundesverfassungsgericht hatte im Volkszählungsurteil über die 
Erhebung von Daten zu entscheiden, die staatliche, statistisch-planerische Steue- 
rungszwecke erfüllen sollten. Die gesetzliche Konkretisierung ist hier Ausprä- 
gung des Verhältnismäßigkeitsprinzips und bezieht sich spezifisch auf einen le- 
gislativen Zweckschutz. Bestimmt werden soll demnach vor allem der „bereichs- 
spezifische“ Verwendungszweck. Es soll ein Schutz vor Zweckentfremdungen 
bestehen.°®? Eine weiter gehende bereichsspezifische Regelung war nicht geboten. 

Ein ausdifferenzierter Grundrechtsschutz durch Verfahren mittels Informa- 
tions-, Auskunfts- und Löschpflichten und ein organisatorisch-institutioneller 
Schutz durch eine unabhängige Datenschutzbeauftragte genügen dem legislati- 
ven Erfordernis.°” Letzte Anforderungen werden mit der Anwendung des all- 
gemeinen Datenschutzrechts in der NIS-Verwaltung erfüllt. Außerdem entsteht 
Rechtsklarheit gerade auch dann, wenn die Normen nicht übermäßig komplex 
formuliert und in der Konstruktion wenig verschachtelt sind sowie wenige Ver- 
weisungen enthalten. 

Im Übrigen ist eine Verdichtung der datenschutzrechtlichen Bestimmungen 
ungeachtet der zahlreichen Öffnungsklauseln in der DS-GVO für den Bereich 
der Gewährleistung der Netz- und Informationssicherheit auch nicht notwendig 
sinnvoll. Die Entwicklung in Referenzgebieten, in denen bereichsspezifische 
Sonderregelungen zum Datenschutz eingeführt wurden, weist darauf hin, dass 
es aufgrund hypertropher Überregulierung zu einem Vollzugsdefizit kommen 
kann und dem Datenschutz letztlich nicht gedient ist.°”! Diese Beobachtung bet- 
tet sich ein in die allgemein für das klassische Ordnungsrecht zu konstatierende 
Tendenz, die Steuerungsfähigkeit durch allzu dichte Regeln zu reduzieren.””? 
Diese „Verrechtlichungsfalle‘“ kann auch im Datenschutzrecht drohen, zumal 
die Zentrifugaltendenzen im Datenschutzrecht durch zahlreiche Öffnungsklau- 
seln nicht gänzlich eingehegt sind. 

Soweit ein Verfassungsauftrag für einen sektorspezifischen Umgang mit per- 
sonenbeziehbaren Daten außerhalb der Datenverarbeitung zur Gefahrenabwehr 
und Strafverfolgung aus dem Gefährdungsgrad und der Sensibilität abgeleitet 
wird,” ist für die NIS-Verwaltung entgegenzuhalten, dass die Sensibilität der 


59 BVerfGE 65, 1 (46). 

50 Vgl. Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, 2000, S. 113. 

51 Kingreen/Kühling, JZ 2015, 213 (214) mit einer Problemskizze am Beispiel des Ge- 
sundheitsdatenschutzrechts; am Beispiel des Telemediengesetzes Kühling/Sivridis/Schuchow/ 
Burghardt, DuD 2009, 335 ff. 

52 Voßkuhle, Neue Verwaltungsrechtswissenschaft, in: Hoffmann-Riem/Schmidt-Aßmann/ 
Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Band I, 2. Aufl. 2012, $ 1 Rn. 10. 

53 BSGE 102, 134 (144 f.) mit Blick auf $$ 284 ff. SGB V und der Folgerung, dass auf- 
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Daten im Rahmen der allgemeinen Regelungen angemessen berücksichtigt wer- 
den kann. Den bereichsspezifischen Risiken der Datenverarbeitung kann mit 
einer präzisen Anwendung des Verhältnismäßigkeitsgrundsatzes begegnet wer- 
den.” Die Informationsverarbeitung der NIS-Behörden ist zuletzt nicht mit si- 
cherheitsrechtlichen Maßnahmen wie Vorratsdatenspeicherung, Rasterfahn- 
dungen oder der automatisierten Kennzeichenerfassung zu vergleichen. So 
knüpft etwa die IT-Meldepflicht wie die genannten Maßnahmen nicht an ein 
vorwerfbares Verhalten des Einzelnen an, sondern an bestimmte, bei privaten 
Unternehmen detektierte Anomalien und Störungen. Die Informationen fließen 
den Behörden anlassbezogen und infolge konkreter Situationen zu. Es ist ein 
Unterschied, ob Logdateien aus Systemen und Netzwerken gesammelt und aus- 
gewertet werden oder ob personenbezogene Daten systematisch (mit anderen 
personenbezogenen Daten) abgeglichen werden. Ein solches Screening,°” Data 
Mining” oder Einrichten eines Data Warehouse” ist nicht Zweck der Infor- 
mationsgenerierung der zuständigen NIS-Behörden.°”® 

Datenschutzrechtliche Spezialregelungen sind nach allem für den ermittelten 
Zweck der Datenverarbeitung weder erforderlich noch hilfreich, wenn es um die 
Begrenzung der administrativen Informationsgenerierung geht. 


III. Besondere Grenzen der Informationsgenerierung zum Schutz von 
Unternehmensgeheimnissen 


Unternehmen haben grundsätzlich Interesse am Schutz sicherheitssensibler Un- 
ternehmensinformationen (1.). Betriebs- und Geschäftsgeheimnisse können 
grundrechtlich geschützt sein. Für Betreiber kritischer Infrastrukturen besteht 
im Rahmen der Meldepflicht durch das abgestufte Meldeverfahren ein besonde- 
rer Schutz (2.). Der Eingriff in geschützte Geheimnisse wird insbesondere durch 
den Schutz des Verwaltungsgeheimnisses gerechtfertigt (3.). 


grund bestehender punktueller Regelungen zur Datenweitergabe ausschließlich Spezialrege- 
lungen anzuwenden sind und sich ein Rückgriff auf die allgemeinen Regelungen verbiete. 

9% Vgl. zum Erfordernis bereichsspezifischer Reglungen bei überdurchschnittlichen Ein- 
griffen und zur „Schwellentheorie“ Roßnagel/Pfitzmann/Garstka, Modernisierung des Da- 
tenschutzrechts, 2001, S. 55 (Fn. 163). 

595 Solche Screenings werden in Unternehmen zur Prävention von Korruption und Com- 
pliance-Verletzungen sowie repressiv zur Straftatenverfolgung eingesetzt. Dazu Brink/ 
Schmidt, MMR 2010, 592 (592). 

5% Heinson, BB 2010, 3084 (3084). 

57 Dammann, in: Simitis (Hrsg.), BDSG, 8. Aufl. 2014, § 3 Rn. 72. 

58 Zur Datenverarbeitung der Nachrichtendienste außerhalb des Anwendungsbereichs 
der NIS-Richtlinie § 3 D. 11. 3. 
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1. Schutzbedarf von Unternehmensinformationen 


Die Informationsgewinnung durch öffentliche Stellen steht mit schutzwürdigen 
und zu berücksichtigenden Unternehmensgeheimnissen in einem Spannungs- 
verhältnis. Da Gegenstand datenschutzrechtlicher Diskussionen häufig perso- 
nenbezogene Daten sind, wurde der Schutz unternehmensbezogener Daten da- 
gegen „bisher kaum diskutiert oder gar rechtlich durchdrungen“.””” Während 
dem Schutz personenbezogener Daten eine menschenrechtliche Bedeutung zu- 
kommt, weil das Recht aufinformationelle Selbstbestimmung in den Persönlich- 
keitsrechten des Einzelnen verwurzelt ist, folgt das Spannungsverhältnis von 
Informationsgewinnung und Unternehmensinformationen aus der wirtschaftli- 
chen Bedeutung von Daten. Auch wenn für Unternehmen kein Persönlichkeits- 
recht anerkannt wird, können sie dennoch ein schutzbedürftiges Geheimhal- 
tungsinteresse haben." Der Umgang mit solchen Daten hat für Unternehmen 
sowohl großen direkten Wert (Daten sind Gegenstand von Geschäften oder im- 
materielle Vermögenswerte und ihr Wert lässt sich bemessen) als auch indirek- 
ten Wert (Daten und Informationen können wettbewerbsrelevant sein und dem 
Unternehmen Vorsprünge verschaffen). Das Schutzbedürfnis von Unternehmen 
folgt aus der Befürchtung, ein Wettbewerber könnte unbotmäßig Kenntnis von 
einem Umstand erlangen. Das Bedürfnis nach informationellem Schutz ist nicht 
von vorneherein dadurch aufgehoben, dass es sich bei der Sicherheitsverwaltung 
um eine Datenverarbeitung öffentlicher Stellen handelt. 


2. Der öffentlich-rechtliche Schutz von Unternehmensinformationen 
bei Bestehen von Informationspflichten in der NIS-Verwaltung 


Die Feststellung, dass Betreiber von Netzinfrastrukturen und Anbieter von In- 
ternetdiensten ein Geheimhaltungsinteresse an den ihre Netz- und Informati- 
onssicherheit betreffenden Informationen haben und dass Informationen daher 
grundsätzlich öffentlich-rechtlich geschützte Unternehmensgeheimnisse dar- 
stellen, impliziert noch nicht, dass die Informationsgenerierung öffentlicher 
Stellen diese Geheimnisse gefährdet. Da die Verwaltung grundsätzlich nicht im 


59 So Stancke, BB 2013, 1418 (1418). 

600 Im Ergebnis offengelassen durch BVerfG, NJW 2010, 3501 (3502). Zum Unternehmens- 
persönlichkeitsrecht und der geschützten „Unternehmensehre“ siehe BGH, NJW 2008, 2110 
(2111). 

601 Holznagel, Informationsbeziehungen in und zwischen Behörden, in: Hoffmann-Riem/ 
Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Band II, 2. Aufl. 
2012, $24 Rn.69; vgl. für die durch das IT-Sicherheitsgesetz eingeführte Meldepflicht 
Böcking, Geplante Meldepflicht: Firmen verweigern direkte Auskunft über Cyberangriffe, 
Spiegel Online vom 19.08.2014, online abrufbar. 
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Wettbewerb mit Unternehmen steht, kann argumentiert werden, dass eine Ge- 
fährdung erst mit der Weitergabe von geschützten Informationen an die Öffent- 
lichkeit oder andere öffentliche Stellen oder an andere Unternehmen besteht. Zu 
untersuchen ist daher die Ausgestaltung des Schutzes von Informationen in der 
NIS-Verwaltung. Dabei zeigt sich, dass das Datenschutzrecht nicht anwendbar 
ist und damit ein im Vergleich zu personenbezogenen Daten weniger ausdiffe- 
renziertes Schutzregime besteht (a). Gleichwohl besteht ein grundrechtlich ge- 
währleisteter Schutz von Betriebs- und Geschäftsgeheimnissen, wobei die auf- 
grund von Meldepflichten gemeldeten Daten grundsätzlich keine geschützten 
Geheimnisse darstellen. Dennoch bestehen besondere Schutzmechanismen für 
die Meldungen von Betreibern kritischer Infrastrukturen (b). Die Angemessen- 
heit des etwaigen Eingriffs durch administrative Informationsgenerierung wird 
insbesondere durch das Verwaltungsgeheimnis gewahrt (c). 


a) Keine Anwendbarkeit des Datenschutzrechts auf juristische Personen 


Juristische Personen des Privatrechts sind Träger von europäischen und deutschen 
Grundrechten. Die Dogmatik hinsichtlich der in Betracht kommenden Grundrech- 
te entspricht grundsätzlich dem im deutschen Recht angewendeten Prinzip. Grund- 
rechtlicher Schutz kommt juristischen Personen zu, soweit das Grundrecht dem 
Wesen nach anwendbar ist. In Betracht kommt daher, dass das natürliche Personen 
schützende Datenschutzrecht auch auf juristische Personen Anwendung findet. 

Gemäß Art. 8 Abs. 1 GRCh hat jede Person das Recht auf Schutz der sie be- 
treffenden personenbezogenen Daten. Dem Wortlaut nach differenziert das 
Grundrecht nicht zwischen natürlichen und juristischen Personen („jede Per- 
son“). Da der Rechtsbegriff der Person nicht weiter eingeschränkt ist, ist die 
Schlussfolgerung, den Schutzbereich auf juristische Personen zu erstrecken, 
keinesfalls fernliegend.°® 

Für die Erstreckung des Datenschutzrechts auf Daten juristischer Personen 
spricht, dass sich auch juristische Personen auf Art. 8 Abs. 1 EMRK berufen 
können. Dort erstreckt sich der Schutz auf berufliche und geschäftliche Tätig- 
keiten. Über Art. 52 Abs.3 GRCh wird kein Grundrecht verdrängt, da das 
Grundrecht in Art. 8 Abs. 1 EMRK insoweit bereichsspezifische Aussagen über 


602 Anders hingegen in Art. 42 und 44 GRCh. 

603 Kingreen, in: Calliess/Ruffert (Hrsg.), EUV/ABUV, 4. Aufl. 2011, GRCh, Art. 8 Rn. 11; 
dafür Streinz, in: ders. (Hrsg.), EUV/AEUV, 2. Aufl. 2012, GRCh, Art. 8 Rn. 7; vgl. Heußner, 
Informationssysteme im Europäischen Verwaltungsverbund, 2007, S. 320 ff. 

604 Vgl. EGMR, Urteil vom 16.12.1992, Serie A, Nr. 251-B, §§ 29 bis 31; Urteil vom 16. 
April 2002, Reports of Judgements and Decisions 2002-II, § 41 und Urteil vom 28. Januar 
2003, Reports of Judgements and Decisions 2003-1, Nr. 44647/98, $ 57. 
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den Datenschutz und grenzüberschreitende Datenflüsse enthält.” Daher bietet 
Art. 8 EMRK wichtige Anhaltspunkte für die konkretisierende Auslegung von 
Art. 8 GRCh.®% In binnensystematischer Sicht ist das Datenschutzgrundrecht 
bei den die „Freiheit“ schützenden Grundrechten zu verorten und nicht in Art. 1 
bis 6 GRCh, die den „Menschen“ schützen.‘ Eine Beschränkung des Daten- 
schutzes auf natürliche Person schreibt die RL 95/46/EG nicht vor, im Gegenteil 
lässt sie in diesem Bereich einen Umsetzungsspielraum, von dem einige Mit- 
gliedstaaten sogar Gebrauch gemacht haben.°® 

Der Vergleich von Art. 8 GRCh mit der gleichlaufenden Gewährleistung in 
Art. 16 AEUV weist hingegen auf eine Beschränkung des personalen Schutzbe- 
reichs auf natürliche Personen hin. Die Gesetzgebungskompetenz in Art. 16 
Abs. 2 AEUV erkennt einen unternehmens- bzw. organisationsbezogenen Da- 
tenschutz nicht an. 

Die gerichtliche Auslegung des Datenschutzrechts hält an der herkömm- 
lichen, auf natürliche Personen beschränkten Konzeption im Grundsatz fest. In 
den vom Europäischen Gerichtshof entschiedenen Fällen wiesen die verfahrens- 
gegenständlichen Geschäftsinformationen zwar jeweils einen konkreten Bezug 
zu natürlichen Personen auf, aber auch sonst ist die Rechtsprechung des Ge- 
richts restriktiv im Vergleich zur expansiven Rechtsprechung über die sonstigen 
europäischen Datenschutzbestimmungen.°” Juristische Personen können sich 
nach der Rechtsprechung auf Art. 7 und 8 GRCh nur berufen, „soweit der Name 
der juristischen Person eine oder mehrere natürliche Personen bestimmt“.°!° Die 
Verletzung des Rechts auf Schutz personenbezogener Daten habe nämlich bei 
juristischen Personen ein anderes Gewicht als bei natürlichen Personen.®!! Die 
Begründung stützt sich jedoch nicht auf das deutliche Spannungsverhältnis von 
Art. 8 GRCh zu Art. 16 Abs. 2 AEUV. Das Gericht zieht als Beurteilungsmaß- 
stab die Trennung von natürlichen und juristischen Personen heran, obwohl eine 


605 Meyer, in: ders. (Hrsg.), Charta der Grundrechte der Europäischen Union, 4. Aufl. 
2014, Art.8 Rn. 19. 

606 Vgl. Britz, EUGRZ 2009, 1 (6). 

607 Guckelberger, EuZW 2011, 126 (128). 

608 Vgl. für Österreich § 4 Nr. 3, für Dänemark Kap. 2 Nr. 4 und für Luxemburg Art. 2 d) 
der jeweiligen Datenschutzgesetze. Siehe auch Guckelberger, EuZW 2011, 126 (128); Gola/ 
Klug/Körffer, in: Gola/Schomerus (Hrsg.), BDSG, 12. Aufl. 2015, § 3 Rn. 11; siehe aber Art. 1 
Abs. 2 DS-GVO. 

609 Dazu Schneider, Die Verwaltung 44 (2011), 499 (507). 

610 EuGH, Urteil vom 09.11.2010, C-92/09 u.a., Rn. 53. Regelungen einer Agrarfondsver- 
ordnung sahen aus Transparenzgründen die namentliche Veröffentlichung von Zuwendungs- 
empfängern und zugewendeten Summen vor, ohne Datenschutzinteressen natürlicher oder 
juristischer Personen zu unterscheiden. 

611 EuGH, C-92/09 u.a., Rn. 87. 


E. Besondere Grenzen der Informationsgenerierung 183 


konkrete Betrachtung des Schutzgutes geboten wäre. Eine Graduierung des 
Schutzniveaus und die dogmatische Verknüpfung mit der Menschenwürde ist 
durch die soziale Relevanz von auf Personen bezogenen Daten naheliegend. 
Den personalen Schutzbedarf hätte das Gericht aber ebenso im Rahmen der 
Rechtfertigung berücksichtigen können. Das Datenschutzrecht betrifft also le- 
diglich den Schutz personenbezogener Daten und ist auf unternehmensbezoge- 
ne Daten nicht anwendbar. 

Im Ergebnis führt dies zu einem strukturell abgeschwächten Schutz für Un- 
ternehmensgeheimnisse. Der Schutz personenbezogener Daten wird ungeachtet 
dessen gewährleistet, ob sie geheim und vertraulich sind. Dagegen sind ge- 
schäftliche Informationen außerhalb der Geheimhaltung nicht Gegenstand ei- 
nes Schutzregimes. Der Geheimnisschutz stellt nicht auf die Dichotomie von 
personen- und nicht personenbezogenen Daten ab, sondern auf das berechtigt 
schützenswerte Geheimnis. Personenbezogene Daten können durch beide 
Schutzrechte erfasst werden. Als speziellere Regelung geht im Falle dieser dop- 
pelt geschützten Schnittmenge der Datenschutz vor.°!? 


b) Schutz von Betriebs- und Geschäftsgeheimnissen 


Da das Datenschutzrecht nicht für juristische Personen Anwendung findet, be- 
steht kein umfassend kodifizierter Schutz für unternehmensbezogene Daten.‘ 
Dem Schutzbedürfnis wird in rechtlicher Hinsicht gleichwohl für die Beziehung 
von Unternehmen zueinander als auch im Verhältnis der Unternehmen zum 
Staat Rechnung getragen. Unter zivilrechtlichen Gesichtspunkten geht es um 
den Schutz von Betriebs- und Geschäftsgeheimnissen. Im Öffentlichen Recht 
kann geheimen Informationen eine subjektiv-rechtlich geschützte Rechtspositi- 
on zukommen. Hier geht es um die Abwehr von Eingriffen und den Schutz vor 
der Offenbarung, also der Weitergabe an Dritte, folglich um Geheimnisschutz 
bzw. Geheimhaltung.‘ 


aa) Herleitung des Schutzes 


Die dogmatische Verortung und die Reichweite des Schutzbereichs des Unter- 
nehmensdatenschutzes sind nicht eindeutig geklärt. Für die Begründung des 
Geheimnisschutzes kommen verschiedene Begründungsansätze in Betracht. 

In Betracht kommt, den Schutz unternehmensbezogener Daten mit der Eigen- 
tumsgarantie aus Art. 17 GRCh bzw. Art. 14 Abs. 1 GG oder der Berufsfreiheit 


612 Kloepfer, Informationsrecht, 2002, § 9 Rn. 5. 
613 Dazu Stancke, BB 2013, 1418 (1419). 
614 Von Lewinski, Die Matrix des Datenschutzes, 2014, S. 11 f. 
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aus Art. 15 GRCh bzw. 12 Abs. 1 GG zu verbinden.°'® Die Anwendung der 
Grundrechte auf juristische Personen ist anerkannt. 

Der Europäische Gerichtshof zitiert Art. 15, 16 und 17 GRCh in einem Zu- 
sammenhang und stellt zusätzlich fest, dass der Schutz von Geschäftsgeheim- 
nissen ein allgemeiner Grundsatz des Unionsrechts ist.°!% Demnach ist der Ge- 
heimnisbegriff für die Reichweite des Schutzes von besonderer Bedeutung.‘'” 
Das Europäische Gericht leitet aus der „Natur von Geschäftsgeheimnissen“ die 
Voraussetzung ab, dass diese oder vertrauliche Informationen nur einer be- 
schränkten Zahl von Personen bekannt sind, dass es sich um Informationen 
handelt, durch deren Offenlegung dem Offenbarenden oder Dritten ein ernst- 
hafter Nachteil entstehen kann, und schließlich, dass die Interessen, die durch 
die Offenlegung der Information verletzt werden können, schützenswert sind.‘'® 
Bei der Beurteilung der Vertraulichkeit einer Information sollen die berechtig- 
ten individuellen Interessen, die mit ihrer Offenlegung in Konflikt stehen, und 
das entgegenstehende Interesse zum Ausgleich gebracht werden.°' 

Das Bundesverfassungsgericht sieht den Schutz der Betriebs- und Geschäfts- 
geheimnisse über Art. 12 GG gewährleistet.‘ Betriebs- und Geschäftsgeheim- 
nisse sind nach der Rechtsprechung des Bundesverfassungsgerichts „alle auf 
ein Unternehmen bezogene Tatsachen, Umstände und Vorgänge [...], die nicht 
offenkundig, sondern nur einem begrenzten Personenkreis zugänglich sind und 
an deren Nichtverbreitung der Rechtsträger ein berechtigtes Interesse hat. Be- 
triebsgeheimnisse umfassen im Wesentlichen technisches Wissen im weitesten 
Sinne; Geschäftsgeheimnisse betreffen vornehmlich kaufmännisches Wissen. 
Zu derartigen Geheimnissen werden etwa Umsätze, Ertragslagen, Geschäftsbü- 
cher, Kundenlisten, Bezugsquellen, Konditionen, Marktstrategien, Unterlagen 
zur Kreditwürdigkeit, Kalkulationsunterlagen, Patentanmeldungen und sonsti- 
ge Entwicklungs- und Forschungsprojekte gezählt, durch welche die wirtschaft- 
lichen Verhältnisse eines Betriebs maßgeblich bestimmt werden können .“! 


615 Heußner, Informationssysteme im Europäischen Verwaltungsverbund, 2007, S. 320 ff.; 
vgl. Frank, Der Schutz von Unternehmensgeheimnissen im öffentlichen Recht, 2008, S. 68 ff. 

616 EuGH, C-V/11, Rn. 43; vgl. EuGH, C-450/06, Rn. 49; zur häufig fehlenden Differenzie- 
rung des EuGH Siebert, Geheimnisschutz und Auskunftsansprüche im Recht des Geistigen 
Eigentums, 2011, S. 260. 

617 Der Begriff der Betriebs- und Geschäftsgeheimnisse wird ebenso in Art. 41 Abs. 2 
lit.b GRCh im Zusammenhang mit dem Informationszugangsanspruch verwendet, aller- 
dings nicht abstrakt definiert. 

618 EuG, T-474/04, Rn. 65. 

619 EuG, T-474/04, Rn. 65, das sich in diesem Zusammenhang auf die Veröffentlichung 
der Information bezieht. 

620 BVerfGE 115, 205 (229). 

62! BVerfGE 115, 205 (230 £.), NVwZ 2006, 1041 (1042). 
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In sekundär- oder einfachgesetzlichen Ausgestaltungen werden die Begriff- 
lichkeiten nicht einheitlich verwendet.° Hinsichtlich des Inhalts besteht jedoch 
im Gegensatz zur Verwendung des Begriffs weitgehend Einigkeit.” Aus der 
Gesamtschau der Definitionen europäischer und deutscher Rechtsprechung er- 
gibt sich, dass eine Information schützenswert ist, wenn sie erstens einen Unter- 
nehmensbezug aufweist, zweitens nur einem begrenzten Personenkreis bekannt 
ist, drittens ein Geheimhaltungswille und viertens ein berechtigtes Geheimhal- 
tungsinteresse bestehen. * 


bb) Beispiel der Sicherheitslücke 


Inwiefern die Voraussetzungen auf sicherheitstechnische Informationen appli- 
ziert werden können, soll am Beispiel von Sicherheitslücken aufgezeigt werden. 

Dass Sicherheitslücken und Schwachstellen ein grundlegendes und struktu- 
relles Problem für die IT-Sicherheit darstellen, ist zwar eine banale, aber keine 
triviale Erkenntnis. Es ist ein zentrales Anliegen in der Sicherheitsgewährleis- 
tung, Wissen über Sicherheitslücken, deren prinzipielle Ursachen und deren Na- 
tur zu generieren. Das Wissen über Sicherheitslücken wird zum Teil als „sehr 
gering“ bezeichnet.°° Das daraus entstehende Bedürfnis nach Kenntnissen 
über Sicherheitslücken verdeutlicht zugleich die Schutzbedürftigkeit der Unter- 
nehmen. 


(1) Begriff der Sicherheitslücke 


Technisch betrachtet sind Sicherheitslücken Zustände in einem Computersys- 
tem oder in Systemen, die es ermöglichen, dass Befehle ohne Berechtigung aus- 
geführt werden können, ein Dritter unberechtigten Zugriff auf Daten erhält, 
dem System eine falsche Identität vorgegeben werden ein Angreifer Deni- 


622 Vgl. Art. 118 Abs. 2 VO (EG) Nr. 1907/2006; § 67 Abs. 1 S. 2 SGB X; § 17 UWG. 

63 Die weitergehende Unterscheidung von Betriebs- und Geschäftsgeheimnissen kann 
hier entfallen, da der rechtliche Schutz als Rechtsfolge übereinstimmt, siehe Siebert, Ge- 
heimnisschutz und Auskunftsansprüche im Recht des Geistigen Eigentums, 2011, S. 240 f. 
Geschäftsgeheimnisse können dem kaufmännischen Bereich eines Unternehmens zugeord- 
net werden, während Betriebsgeheimnisse dem technischen Bereich zugewiesen werden 
können. Als Oberbegriff wird der Begriff Unternehmensgeheimnis verwendet. Siehe Zech, 
Information als Schutzgegenstand, 2012, S. 230 ff. 

624 Vgl. Art.2 Abs. 1 RL (EU) 2016/943; ebenso Roßnagel, Verfassungsrechtliche Grenzen 
gesetzlicher Pflichten zur Offenlegung von Arbeits- und Beschäftigungsbedingungen, 2016, 
S. 37. 

625 Brodowski/Freiling, Cyberkriminalität, Computerstrafrecht und die digitale Schatten- 
wirtschaft, 2011, S. 26. 
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al-of-Service-Attacken ausführen kann. Sicherheitslücken sind Resultat von 
Komplexität. Es ist im Grunde nicht möglich, eine Software zu schreiben, die 
keine Fehler enthält. Die zunehmende Funktionsvielfalt führt zu einer insge- 
samt unendlichen Anzahl an Schwachstellen. Gewöhnliche Programme führen 
in der Regel Millionen Zeilen von Codes aus, also Sätze und Computerbefehle. 
Je nach Programmaqualität liegt die Fehlerquote zwischen 5 und 0,0001 Pro- 
zent.6?’ Die Anzahl an Sicherheitslücken, die für einen Hack ausgenutzt werden 
können, liegt ebenfalls bei ungefähr 5 Prozent.‘® Bei anspruchsvolleren Pro- 
grammen mit mehreren hundert Millionen Zeilen Code kann dies zu einer be- 
trächtlichen Quantität an Angriffswegen führen. Hinzu kommt, dass es nicht 
nur neue Wege gibt, Sicherheitslücken zu produzieren, sondern auch Techniken 
dafür, Sicherheitslücken auszunutzen (sog. Exploits). 

Auf europäischer Ebene findet sich keine Begriffsbestimmung. Eine rechtli- 
che Ausgangsdefinition des Begriffs der Sicherheitslücke findet sich in $2 
Abs. 6 BSIG. Sicherheitslücken im Sinne des BSIG sind demnach Eigenschaften 
von Programmen oder sonstigen informationstechnischen Systemen, durch de- 
ren Ausnutzung sich Dritte gegen den Willen des Berechtigten Zugang zu frem- 
den informationstechnischen Systemen verschaffen oder die Funktion der in- 
formationstechnischen Systeme beeinflussen können. Letztlich können Sicher- 
heitslücken damit auch rechtlich als Fehler von Programmen beschrieben 
werden.‘° 


(2) Schutzvoraussetzungen 


Für die in Betracht kommende Qualifizierung als Betriebs- und Geschäftsge- 
heimnis muss die Information zunächst einen tatsächlichen Unternehmensbe- 
zug aufweisen. Die Information muss in Abgrenzung zu Einschätzungen, Be- 
wertungen, Ansichten und Meinungen „Tatsachen, Umstände und Vorgänge“ 
erfassen, die in einem unternehmerischen Zusammenhang stehen.“ Der Unter- 


626 Definition von „Vulnerability“ nach Common Vulnerabilities and Exposures (CVE), 
abrufbar unter: https://cve.mitre.org/about/terminology.html. CVE ist ein Industriestandard 
mit dem Ziel, eine einheitliche Namenskonvention für Sicherheitslücken einzuführen. 

627 Gaycken, Cybersicherheit in der Wissensgesellschaft, in: Daase/Engbert/Junk (Hrsg.), 
Verunsicherte Gesellschaft — Überforderter Staat, 2013, S. 109 (121). 

628 Gaycken/Lindner, Zero Day Governance — A(n Inexpensive) Solution to the Cyber 
Security Problem, in: Harvard — MIT Cyber Dialogue: What is Stewardship in Cyberspace, 
2012, S. 13, online abrufbar. 

629 Buchberger, in: Schenke/Graulich/Ruthig (Hrsg.), Sicherheitsrecht des Bundes, 2014, 
BSIG, § 2 Rn. 8. 

60 Frank, Der Schutz von Unternehmensgeheimnissen im öffentlichen Recht, 2008, 
S. 46; Roßnagel, Verfassungsrechtliche Grenzen gesetzlicher Pflichten zur Offenlegung von 
Arbeits- und Beschäftigungsbedingungen, 2016, S. 39. 
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nehmensbezug besteht grundsätzlich dann, wenn die Information derart in ei- 
nen Betrieb eingebracht wird, dass sie zum räumlichen oder persönlichen Herr- 
schaftsbereich des Unternehmens gehört und nicht etwa ein Privatgeheimnis 
darstellt. Eine IT-Sicherheitslücke ist ein wirklicher, nachweisbarer Sachverhalt 
und fällt, wenn sie zu den Netz- und Informationssystemen gehört, in den Herr- 
schaftsbereich des betreffenden Unternehmens. 

Des Weiteren muss die Information nichtoffenkundig sein, d.h. nur einem 
eng begrenzten Personenkreis bekannt sein. Offenkundig ist eine Information 
dann, wenn sie in den Kreisen, die üblicherweise mit Informationen dieser Art 
befasst sind, allgemein bekannt oder leicht zugänglich ist.°! Damit hängt die 
Erfüllung dieses Kriteriums vom Einzelfall ab. Für die Bestimmung der Zu- 
gänglichkeit können Kriterien wie die Verbreitung des Programms und die 
Qualität der Sicherheitslücke herangezogen werden. Differenzierungsmerkmale 
könnten auch die Natur der Sicherheitslücke und das Verfahren ihrer Aufde- 
ckung sein. Der Geheimnischarakter von Exploits, also Computerprogrammen, 
die Vulnerabilitäten tatsächlich systematisch ausnutzen, soll erst mit einer ge- 
wissen Verbreitung der Kenntnis über sie entfallen. Der Geheimnischarakter 
kann entfallen, ohne dass es der Untersuchung des Quellcodes bedarf, wenn wie 
bei DDoS-Exploits strukturelle Serverschwächen ausgenutzt werden, die in der 
„Community“ gemeinhin bekannt sind. 

Der Geheimhaltungswille als subjektives Element dürfte typischerweise zu 
unterstellen sein. Dieser Wille soll das Geheimnis von bloßen unbekannten Tat- 
sachen unterscheiden.° Soweit jedenfalls eine IT-Sicherheitslücke entdeckt 
wurde und ihre Offenbarung zu Reputationsverlusten des Unternehmens führt, 
kann ein solcher Geheimhaltungswille angenommen werden. Das Geheimhal- 
tungsinteresse soll sicherstellen, dass die Geheimhaltung nicht beliebig verlangt 
wird, ohne dass dafür ein im Ansatz begründetes Interesse gegeben ist.°°* Ein 
wirtschaftliches Interesse vermag die Erfüllung dieses Kriteriums zu indizieren. 
Das Interesse muss sich nicht auf konkrete Vermögenswerte beziehen, son- 
dern kann auch die Stellung im Wettbewerb betreffen, sodass auch hier die Angst 
vor einem Reputationsverlust auf ein bestehendes Interesse schließen lässt. 

Zuletzt muss ein berechtigtes objektives Geheimhaltungsinteresse vorliegen. 
Das Merkmal soll eine willkürliche Vorenthaltung von Informationen und da- 


6! Kloepfer, Informationsfreiheitsgesetz und Schutz von Betriebs- und Geschäftsgeheim- 
nissen, 2011, S. 23; BGH GRUR 58, 297 (299); Ohly, in: ders./Sosnitza (Hrsg.), UWG, 6. Aufl. 
2014, § 17 Rn. 7; vgl. § 39 Abs. 2 TRIPS. 

632 Vgl. BayOLG, GRUR 91, 694 (696) zu illegalen Auswertungsprogrammen. 

633 Harte-Bavendamm, in: ders./Henning-Bodewig (Hrsg.), UWG, 3. Aufl. 2013, $ 17 Rn.5. 

634 Harte-Bavendamm, in: ders./Henning-Bodewig (Hrsg.), UWG, 3. Aufl. 2013, § 17 Rn. 6. 
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mit die Ausuferung des Geheimnisschutzes verhindern.‘ Das Interesse muss 
wirtschaftlicher Natur sein und ist immer dann anzunehmen, wenn das Bekannt- 
werden der Information geeignet ist, die Stellung des Betriebs im Wettbewerb 
zu verschlechtern oder ihm wirtschaftlichen Schaden zuzufügen.‘’ Da das Be- 
kanntwerden einer Sicherheitslücke Rückschlüsse auf die interne IT-Infrastruk- 
tur zulässt und Reputationsschäden denkbar sind, die zu wirtschaftlichen Schä- 
den führen können, ist die Annahme eines berechtigten Geheimhaltungsinter- 
esses grundsätzlich zu bejahen. Überdies kann das Bekanntwerden dazu führen, 
dass unbefugte Dritte die Informationen in Schädigungsabsicht missbrauchen. 
So kann die Meldung einer Sicherheitslücke den Anlass dafür bilden, dass diese 
von einem Angreifer ausgenutzt wird, bevor sie geschlossen werden kann. 

Es ist demnach nicht völlig ausgeschlossen, eine IT-Sicherheitslücke als 
rechtlich geschütztes Geheimnis zu qualifizieren. Die Definition des geschütz- 
ten Unternehmensgeheimnisses ließe sich auf andere Informationen im Kontext 
der Netz- und Informationssicherheit übertragen. Denkbar sind etwa Informa- 
tionen über erfolgte Angriffe auf Unternehmen oder Informationen über Sicher- 
heitsverschlüsselungen und sonstige Algorithmen. 


c) Besonderer Schutz für Betreiber kritischer Infrastrukturen im Rahmen von 
Meldepflichten 


Mit Blick auf die Meldepflichten ist allerdings fraglich, ob hinsichtlich der be- 
treffenden Informationen ein berechtigtes Geheimhaltungsinteresse besteht. 
Gegen den Geheimnisschutz bei Bestehen von Meldepflichten spricht, dass das 
Unternehmen die meldepflichtigen Informationen gerade offenbaren muss und 
insofern den Geheimnischarakter der Information nicht beherrschen kann. In 
der Meldepflicht könnte die gesetzgeberische Wertung liegen, dass diese Infor- 
mationen aus dem Kreis der Betriebs- und Geschäftsgeheimnisse herausgenom- 
men sind.°°® Gegen den Schutz spricht darüber hinaus, dass nicht nur schutzbe- 


66 Kloepfer/Grewe, NVwZ 2011, 577 (582). 

67 Kloepfer, Informationsfreiheitsgesetz und Schutz von Betriebs- und Geschäftsgeheim- 
nissen, 2011, S. 28; Roßnagel, Verfassungsrechtliche Grenzen gesetzlicher Pflichten zur Of- 
fenlegung von Arbeits- und Beschäftigungsbedingungen, 2016, S. 41 f. 
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dürftige, sondern auch nur schutzwürdige Interessen erfasst sein sollen. Bezie- 
hen sich die Informationen auf rechtswidrige Geschäftspraktiken oder die 
Missachtung von IT-Sicherheitspflichten, kann an dem zuzumessenden Schutz 
durchaus gezweifelt werden.“ Im Interesse der größtmöglichen Reichweite des 
Grundrechtsschutzes spricht aber vieles dafür, die möglichen Wertungen auf 
Ebene der Rechtfertigung in Einklang zu bringen. 

Unabhängig von der Bewertung in Einzelfall wird im Rahmen der Melde- 
pflichten dem Schutzbedürfnis der Betreiber kritischer Infrastrukturen durch 
ein besonderes abgestuftes Meldesystem Rechnung getragen. 

Die Meldepflicht für Betreiber kritischer Infrastrukturen ist zweistufig aus- 
gestaltet. Für Störungen der Sicherheit, die nicht zu einem tatsächlichen Ausfall 
oder einer Beeinträchtigung führen, ist die namentliche Nennung des Betreibers 
nicht erforderlich ($ 8b Abs. 4 S. 1 BSIG). Die Meldung muss nicht direkt an das 
BSI gerichtet sein, sondern kann über eine Kontaktstelle erfolgen ($ 8b Abs. 3 
BSIG). Die Nennung des Betreibers ist hingegen geboten, wenn die Störung zu 
einem tatsächlichen Ausfall oder zu einer Beeinträchtigung der Funktionsfä- 
higkeit kritischer Infrastrukturen geführt hat ($ 8b Abs. 4 S. 3 BSIG). Durch die 
NIS-Richtlinie wird diese Differenzierung nicht vorgesehen, aber auch nicht 
ausgeschlossen. 

Durch das gestufte Verfahren sollen gerade vor dem Hintergrund der Sensi- 
bilität der Meldungen wirtschaftliche Auswirkungen durch ein etwaiges Be- 
kanntwerden von Vorfällen verhindert werden.‘*° Erst im konkreten Schadens- 
fall soll das BSI ohne Umwege eine Informationsbeziehung mit den Betreibern 
aufnehmen können, sodass erst dann das Interesse der Unternehmen an der 
Nichtpreisgabe der Identität hinter die Eilbedürftigkeit zurücktritt. Die Offenle- 
gung des konkreten Betreibers gegenüber dem BSI ist dann wegen des überge- 
ordneten Interesses an der Abwehr der unmittelbaren Gefährdung der Versor- 
gungssicherheit gerechtfertigt.°* 

Die fehlende Pflicht zur Nennung des Infrastrukturbetreibers führt indes 
nicht zu einer Anonymität des Betreibers. Die Meldung an die Kontaktstelle 
führt lediglich zu einer Pseudonymisierung. Im datenschutzrechtlichen Kontext 
bedeutet Pseudonymisierung, dass — im Gegensatz zur Anonymisierung — das 


69 Vgl. §2 S.1 Nr.2 c) VIG; Wollenschläger, VerwArch 112 (2011), 20 (36); Heußner, 
Informationssysteme im Europäischen Verwaltungsverbund, 2007, S. 321. 

640 BT-Drs. 18/4096, S. 47. 

641 Hornung, Stellungnahme zum Entwurf eines IT-Sicherheitsgesetzes vom 18.04.2015, 
A-Drs. 18(4)284 G, S. 3; vgl. aber Roßnagel, A-Drs. 18(4)284 B, S. 11, der darauf hinweist, 
dass eine Aufdeckungsregel wie etwa $ 16 DeMailG im BSIG eben nicht enthalten ist und 
zumindest aus dem datenschutzrechtlichen Zweckbindungsgrundsatz eine Offenlegung un- 
tersagt ist. 
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Herstellen des Zusammenhangs zum Betroffenen noch möglich ist. Da zu den 
Angaben einer Meldung die Nennung der eingesetzten Technik sowie der Bran- 
che gehört, ist eine Zuordnung durch Wettbewerber nicht von vorneherein aus- 
geschlossen. Die Herkunft einer Meldung kann gerade in Branchen mit nur we- 
nigen meldepflichtigen Betreibern durch eine nachträgliche Zuordnung anhand 
der gemeldeten Daten feststellbar sein. Dem BSI soll gerade die Möglichkeit 
erhalten bleiben, auf meldende Betreiber zurückzukommen, ohne dass eine Of- 
fenlegung des Klarnamens erforderlich wäre.°** 

Bemerkenswert ist allerdings, dass eine Regelung für Infrastrukturbetreiber 
im Energiesektor wie in $ 11 Abs. Ic S.5 EnWG besteht, nach der sowohl das 
BSI als auch die Bundesnetzagentur sicherzustellen haben, dass die unbefugte 
Offenbarung der durch die Meldepflicht zur Kenntnis gelangten Angaben aus- 
geschlossen ist. Dies verwundert umso mehr, als sowohl diese Regelung als 
auch das abgestufte Meldeverfahren mit den Novellierungen durch das IT- 
Sicherheitsgesetz eingeführt wurden. Der Unterschied in der Regulierung lässt 
auf eine Differenzierung der Interessen der Meldeverpflichteten an der Schutz- 
bedürftigkeit der Informationen schließen. Zwar lässt sich nicht bezweifeln, 
dass die Daten über die IT-Sicherheit im Energiesektor hochsensibel sind. Ver- 
sorgungssysteme sind eine Infrastruktur für andere Infrastrukturen, mithin 
eine Meta-Infrastruktur, ohne die auf sie aufbauende Sekundärinfrastrukturen 
nicht würden funktionieren können. Nicht weniger sensibel dürften regelmäßig 
aber die gemeldeten Daten der sonstigen meldeverpflichteten Betreiber kriti- 
scher Infrastrukturen sein.°* 

Das abgestufte Meldeverfahren über eine Kontaktstelle gilt nicht für die Be- 
treiber von Telekommunikationsnetzen und Anbieter von Telekommunikations- 
diensten. Deren Meldungen sind direkt der Bundesnetzagentur zu übermitteln. 
Die Effektivität der Meldepflicht kann beeinträchtigt werden, wenn ein Unter- 
nehmen die mit einer offengelegten Identität verbundenen Risiken nicht eingeht 
und stattdessen das Risiko eines Ordnungsgeldes nach $ 149 Abs. 1 Nr. 2la 
TKG in Kauf nimmt. Die Friktion im System der Meldepflichten lässt sich da- 
mit rechtfertigen, dass gerade die telekommunikationsrechtlichen Meldungen 
einen erheblichen Teil der Informationen über die Internetsicherheit generieren. 
Die bilaterale Kommunikation der Behörden mit den Unternehmen muss daher 


642 Vgl. § 3 Abs. 6, 6a BDSG. 
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im Zweifel ohne Verzögerung stattfinden können. Der Weg über eine Kontakt- 
stelle würde durch einen anschließenden Identifikationsprozess zu unbotmäßi- 
gen Verzögerungen führen. Das für die Betreiber von kritischen Infrastruktu- 
ren bestehende Meldeverfahren ist anders als das für Telekommunikationsun- 
ternehmen im besonderen Maße auf den Aufbau einer vertrauensvollen 
Kooperation angewiesen. Die telekommunikationsrechtlichen Meldepflichten 
bestanden schon vor der Einführung der Meldepflicht für Sicherheitsvorfälle 
bei den Betreibern kritischer Infrastrukturen. Insofern dient die Möglichkeit, 
Meldungen pseudonym abzugeben, zugleich als Anreiz, den Pflichten über- 
haupt nachzukommen. 

Nach allem ergibt sich aus dem besonderen Meldeverfahren für Betreiber 
kritischer Infrastrukturen ein indirekter Schutz für Unternehmensinformatio- 
nen. Eine Reduzierung der meldepflichtigen Angaben und damit ein Erkennt- 
nisverlust sind grundsätzlich nicht zu befürchten. Vielmehr dient das abgestufte 
Meldeverfahren den Betreibern und Anbietern als zusätzlicher Anreiz, die Mel- 
depflichten zu erfüllen. 


3. Schutz vor unbefugter Offenlegung durch das Verwaltungsgeheimnis 


Zur Rechtfertigung von Eingriffen in geschützte Betriebs- und Geschäftsge- 
heimnisse kommt es maßgeblich auf die Verhältnismäßigkeit an (a). Für die Ver- 
hältnismäßigkeit streitet insbesondere der Schutz der generierten Informationen 
durch das Verwaltungsgeheimnis (b). 


a) Beachtung der Verhältnismäßigkeit 


Das direkte Erheben von geschützten Geheimnissen beeinträchtigt grundsätz- 
lich die grundrechtlich geschützte Rechtsposition. 

Die durch Art. 15 GRCh geschützte Berufsfreiheit gewährt, trotz aller Einzel- 
ausprägungen, ein einheitliches Grundrecht, das sowohl das Recht auf Berufs- 
wahl als auch auf die Berufsausübung umfasst.‘ Die durch Art. 16 GRCh 
geschützte unternehmerische Tätigkeit umfasst die Ausübung der Wirtschafts- 
und Geschäftstätigkeit, die Vertragsfreiheit, die Handelsfreiheit, die Werbe- so- 
wie die Wettbewerbsfreiheit.6*’ Eingriffe in diese Grundrechte sind nach Art. 52 
Abs. 1 S. 1 GRCh nur aufgrund eines Gesetzes zulässig, wenn sie den Wesens- 
gehalt beachten. Einschränkungen dürfen gemäß Art. 52 Abs. 1 S.2 GRCh nur 
unter Wahrung des Grundsatzes der Verhältnismäßigkeit vorgenommen wer- 


646 Schwarze, in: ders./Becker/Hatje/Schoo (Hrsg.), EU-Kommentar, 3. Aufl. 2012, 
GRCH, Art. 15, Rn. 12. 

647 Schwarze, in: ders./Becker/Hatje/Schoo (Hrsg.), EU-Kommentar, 3. Aufl. 2012, 
GRCH, Art. 16, Rn. 3. 
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den, wenn sie erforderlich sind und den von der Union anerkannten dem Ge- 
meinwohl dienenden Zielsetzungen oder den Erfordernissen des Schutzes der 
Rechte und Freiheiten anderer tatsächlich entsprechen. 

Vergleichbare Anforderungen an die Rechtfertigung sind auch im Rahmen 
von Art. 12 GG zu stellen. Eine staatliche Maßnahme, die auf die Offenlegung 
bestimmter Geschäfts- und Betriebsgeheimnisse gerichtet ist, stellt einen Ein- 
griff in den Schutzbereich von Art. 12 Abs. 1 GG dar und ist an der vom Bun- 
desverfassungsgericht aufgestellten Drei-Stufen-Theorie zu messen.‘ Die Of- 
fenlegung von Geschäfts- und Betriebsgeheimnissen kann als Berufsaus- 
übungsregelung qualifiziert werden, da sie weder an subjektive Voraussetzungen 
anknüpft, noch die Berufswahl betrifft. Zulässig ist eine Berufsausübungsrege- 
lung, wenn vernünftige Erwägungen des Allgemeinwohls dieselbe zweckmäßig 
erscheinen lassen.°” 

Der Schutzgegenstand des in Art. 17 GRCh gewährleisteten Eigentumsrechts 
ist nicht abstrakt definierbar, da er normativ durch den Gesetzgeber ausgefüllt 
wird.5°° Das Eigentum wird nach Art. 345 AEUV vor allem durch die nationa- 
len Rechtsordnungen bestimmt. Unter den Schutzbereich des Eigentums fallen 
daher die im nationalen Recht geschützten Rechtspositionen.°°' Allerdings wird 
die Kompetenz des Europäischen Gerichtshofs, Inhalt und Grenzen des Eigen- 
tums unionrechtlich festzulegen, durch Art. 345 AEUV nicht ausgeschlossen. 
Der Gesetzgeber kann nach Art. 17 Abs. 1 S.3 GRCh die Nutzung des Eigen- 
tums regeln, soweit dies für das Wohl der Allgemeinheit erforderlich ist. Recht- 
mäßig sind bloße Nutzungsbeschränkungen, wenn sie tatsächlich dem Gemein- 
wohl dienenden Zielen der Union entsprechen und nicht einen im Hinblick auf 
die verfolgten Ziele „unverhältnismäßigen, nicht tragbaren Eingriff darstellen, 
der die so gewährleisteten Rechte in ihrem Wesensgehalt antastet.““ 

Das Eigentumsrecht, das nach Art. 14 GG geschützt wird, ist gleichfalls 
normgeprägt.°” Der Geheimnisschutz wird teilweise im davon erfassten Recht 
am eingerichteten und ausgeübten Gewerbebetrieb verortet, da Geheimnisse 
maßgebliche wertbildende Faktoren seien.°°* Das Bundesverfassungsgericht 
lässt die Frage offen, ob ein Unternehmen in seiner tatsächlichen Zusammen- 
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fassung vor Eingriffen geschützt ist. Zum Teil wird angenommen, dass eine 
Offenlegungspflicht eine Information gerade aus dem Geheimnisschutz heraus- 
nimmt.‘ Andere nehmen an, dass durch den hoheitlichen Umgang mit einer 
geheimen Information die Nutzung des Eigentums dergestalt beschränkt wird, 
dass das betreffende Unternehmen in der alleinigen Verfügungsgewalt be- 
schnitten wird, da das Recht auch umfasst, darüber zu bestimmen, wer von In- 
formationen Kenntnis nehmen darf und wer nicht.°’ 

Der Unternehmensdatenschutz kann bei Informationseingriffen demnach 
über einen eigentumsähnlichen Zuweisungsgehalt oder über die freie Berufs- 
ausübung gewährleistet werden.‘°® Es ähnelt dem Recht der informationellen 
Selbstbestimmung insoweit, als das Grundrecht auf Geheimsphäre grundsätz- 
lich vor unbefugter Erhebung, Offenlegung und Weitergabe schützt.“ Das Kri- 
terium der „sozialen“ Relevanz im Datenschutz findet seine Entsprechung in der 
Stellung eines Unternehmens im Wettbewerb.‘ 

Die hohe Normprägung der Grundrechte gibt dem Gesetzgeber grundsätzlich 
einen großen Auswahl- und Gestaltungsspielraum. Aus allen Grundrechten 
folgt letztlich, dass die gesetzgeberischen Maßnahmen und die behördliche An- 
wendung der informationsverwaltungsrechtlichen Rechtsgrundlagen im Einzel- 
fall verhältnismäßig sein müssen. 


b) Schutz durch das Verwaltungsgeheimnis 


Im Rahmen der Angemessenheit ist besonders zu berücksichtigen, dass dem 
Geheimhaltungsinteresse der Unternehmen durch das Verwaltungsgeheimnis 
Rechnung getragen wird, das vor unbefugter Offenbarung durch die Behörde 
schützt.°°! 

Spezielle Schutzvorschriften für das BSI finden sich im BSIG hinsichtlich des 
Schutzes von Unternehmensgeheimnissen nicht. Das Gleiche gilt für die Bun- 
desnetzagentur. Das Telekommunikationsrecht gewährt zwar einen speziellen 
Schutz unternehmensbezogener Daten, der sich auf Daten juristischer Perso- 
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nen während des Telekommunikationsvorgangs oder Betriebs- und Geschäfts- 
geheimnisse in Beschlussverfahren der Bundesnetzagentur bezieht. Eine spezi- 
elle Regelung des Geheimnisschutzes mit Bezug auf die jeweiligen Informa- 
tionserhebungsbefugnisse findet sich im TKG jedoch nicht. 

Damit kann auf das Verwaltungsgeheimnis in § 30 VwVfG zurückgegriffen 
werden.‘ Nach $ 30 VwVfG haben die Beteiligten Anspruch darauf, dass ihre 
Geheimnisse, insbesondere Betriebs- und Geschäftsgeheimnisse, von der Be- 
hörde nicht unbefugt offenbart werden. Die Anwendung des $ 30 VwVfG steht 
unter dem allgemeinen Subsidiaritätsvorbehalt des § 1 VwVfG. Inhaltsgleiche 
und entgegenstehende Bestimmungen des Bundes gehen $ 30 VwVfG vor. 

Nach dem Wortlaut („Beteiligte“) und der systematischen Stellung im 
VwVfG bezieht sich die Vorschrift auf Verwaltungsverfahren im Sinne des $ 9 
VwVfG. Diese sind auf den Erlass des Verwaltungsaktes gerichtet. Dem Schutz 
durch § 30 VwVfG könnte also entgegenstehen, dass einige Verfahren zur In- 
formationsgenerierung keine Verwaltungsverfahren darstellen. So stellen die 
Meldepflichten bei Sicherheitsvorfällen selbstbeständige Informationsbeibrin- 
gungspflichten dar, die einen Verwaltungsakt als Rechtsgrundlage nicht voraus- 
setzen und von der Behörde keine Sachauseinandersetzung erfordern. 

Eine genaue Charakterisierung der Verfahren ist gleichwohl nicht geboten. 
Gute Gründe sprechen dafür, der Regelung einen allgemeinen Charakter zuzu- 
sprechen. ‘°°* Zum einen sprechen rechtsstaatliche Erwägungen dafür, den Schutz 
nicht nur im Rahmen eines laufenden Verfahrens zu gewähren. „Beteiligte“ 
sind nach weiterer Auslegung des Tatbestandsmerkmals auch solche eines be- 
reits durchgeführten Verwaltungsverfahrens und sonstiger einzelfallbezogener 
Behördenverfahren.°6 Zum anderen ist § 30 VwVfG Ausdruck eines allgemei- 
nen, verfassungsrechtlich abgeleiteten Rechtsgrundsatzes, der auch außerhalb 
des durch §§ 1, 2 und 9 VwVfG markierten Anwendungsbereichs Anwendung 
findet. Dadurch gilt der Grundsatz bei jeder öffentlich-rechtlichen Verwal- 
tungstätigkeit.°67 

Für den Umgang staatlicher Stellen mit sensiblen, unternehmensbezogenen 
Angaben gilt damit für die hier relevanten Sicherheitsbehörden die Grundregel 
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des $ 30 VwVfG. In der Rechtsfolge schützt $ 30 VwVfG vor dem unbefugten 
Offenbaren von Unternehmensgeheimnissen, d.h., für die Weitergabe der be- 
treffenden Unternehmensinformation bedarf es einer gesonderten Befugnis.‘ 

Da bei Anwendung des Verwaltungsgeheimnisses geschützte Informationen 
vor dem unbefugten Offenbaren zu schützen sind, wird teilweise angenommen, 
dass für die behördliche Informationsgenerierung keine rechtliche Grenze be- 
stehe. Ein rechtfertigungsbedürftiger Eingriff sei erst in der interbehördlichen 
Weitergabe oder in der Offenbarung von Informationen gegenüber privaten 
Dritten zu sehen.‘ Dafür lässt sich in der Tat anführen, dass durch die behörd- 
liche Generierung von geheimen Informationen grundsätzlich keine berufs- 
oder wettbewerbsbezogene Beeinträchtigung im Sinne der rechtlichen Zuord- 
nung des Geheimnisses herbeigeführt wird. Ein Geheimnis ist für Wettbewer- 
ber gerade nicht besser erreichbar, da die Behörde das Geheimnis gemäß $ 30 
VwVfG nicht ohne Weiteres offenbaren darf. Im Übrigen schützen die sonsti- 
gen, das rechtsstaatliche Verfahren absichernden Vorschriften des Dienstrechts 
zur Amtsverschwiegenheit‘” und der strafrechtliche Geheimnisschutz‘’! vor 
einer unbefugten Veröffentlichung eines Unternehmensgeheimnisses. 

Für die Annahme eines Eingriffs in geschützte Unternehmensgeheimnisse 
durch behördliche Informationsgenerierung trotz Anwendbarkeit des Verwal- 
tungsgeheimnisses spricht, dass die NIS-Behörden Teil einer institutionalisier- 
ten Kooperation sind, die darauf angelegt ist, einen Informationsaustausch zu 
ermöglichen. Die Informationsgenerierung ist Voraussetzung und Vorstufe ei- 
ner späteren Weitergabe von Informationen und folglich einer späteren Gefähr- 
dung. Diese erhöhte Gefährdung spricht dafür, den Schutzbereich für Unterneh- 
mensgeheimnisse bereits früher als eröffnet anzusehen.‘’? Zudem besteht bei 
behördlichen Informationssammlungen die tatsächliche Gefahr, dass diese an- 
gegriffen werden und so geschützte Informationen ungewollt an die Öffentlich- 
keit gelangen. Gegen starke Angreifer kann grundsätzlich kein Informations- 
system als sicher gelten.” Demnach besteht für Unternehmensgeheimnisse al- 
lein durch die Speicherung bei der NIS-Verwaltung eine abstrakte Gefahr. Ein 
besonderes Schutzbedürfnis entsteht bei Unternehmen außerdem dann, wenn 
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für die Ausübung von Informationsbefugnissen private Dritte herangezogen 
werden. So hat das BSI bei der Auswahl und Akkreditierung von Unternehmen, 
die die Untersuchung von IT-Sicherheitsprodukten und -systemen nach $ 7a 
BSIG vornehmen, die besonders schutzwürdigen Interessen des Herstellers zu 
berücksichtigen. Zum Schutz dieser Interessen gehört, dass die Beauftragung 
eines direkten Wettbewerbers ausgeschlossen ist und die Beauftragten zur 
Wahrung einer den Risiken entsprechenden Vertraulichkeit verpflichtet werden. 

Nach all dem können Informationserhebungen der NIS-Verwaltung grund- 
sätzlich, mit Ausnahme der Meldepflichten, rechtfertigungsbedürftige Eingriffe 
in den grundrechtlich gewährleisteten Schutz von Betriebs- und Geschäftsge- 
heimnissen darstellen. Für die Zumutbarkeit von Eingriffen spricht insbesonde- 
re, dass die generierten Informationen dem Verwaltungsgeheimnis unterliegen, 
das vor unbefugter Offenlegung der betreffenden Informationen schützt. 


F. Zwischenergebnis 


Die Funktion und Rechtfertigung der staatlichen Wissensgenerierung im Be- 
reich der betrachteten Netz- und Informationssicherheit kann vor allem in der 
Erfüllung der Gewährleistungsverantwortung gesehen werden, die im Grund- 
gesetz für den Bereich der Telekommunikation in Art. 87f GG ausdrücklich an- 
gelegt ist, die jedoch auch eine unionsrechtliche Dimension hat. Das Internet ist 
vielfach auch eine Bedingung der effektiven Ausübung von Grundrechten. Aus 
den Grundrechten folgt in der Infrastrukturdimension ein Recht auf Internet- 
zugang und aus den staatlichen Schutzpflichten das Gebot, die Sicherheit der 
wesentlichen Internetinfrastrukturen zu gewährleisten. 

Die Informationen und das sicherheitsrelevante Wissen sind gesellschaftlich 
verstreut und vor allem bei den Unternehmen zu verorten. Als Quellen für die 
Informationsgewinnung dienen in erster Linie die durch die NIS-RL adressier- 
ten Betreiber kritischer Infrastrukturen und Anbieter digitaler Dienste sowie 
Betreiber öffentlicher Telekommunikationsnetze und Erbringer öffentlich zu- 
gänglicher Telekommunikationsdienste, aber auch die Verarbeiter personen- 
bezogener Daten, die vor der Geltung der DS-GVO telemedienrechtlich erfasst 
wurden. Am Beispiel der Over-the-Top-Kommunikationsdienste lässt sich dar- 
stellen, dass die telekommunikationsrechtliche Einordnung neuer digitaler Ge- 
schäftsmodelle noch nicht abschließend geklärt ist. Die Anwendbarkeit des tele- 
kommunikationsrechtlichen Informationsverwaltungsrechts ist jedoch ein Ar- 
gument für eine Einordnung in das Telekommunikationsrecht. 

Zu den maßgeblichen administrativen Wissens- und Informationsakteuren 
zählen auf europäischer Ebene die ENISA und auf nationaler Ebene das BSI 
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und die Bundesnetzagentur. Die NIS-Richtlinie erlaubt diese Parallelstruktur. 
Das BSI fungiert allerdings als zentrale Stelle für die Sicherheit in den Informa- 
tionstechniken kritischer Infrastrukturen und für die Zusammenarbeit mit eu- 
ropäischen Stellen. Aufgaben, die einen spezifischen Bezug zu den Schutzzielen 
der Netz- und Informationssicherheit aufweisen, übernehmen darüber hinaus 
auch die Nachrichtendienste. Die Datenschutzbehörden sind insoweit zum Be- 
reich der Netz- und Informationssicherheit zu zählen, als Datenschutz auch die 
Datensicherheit umfasst. Die NIS-Behörden haben den organisationsrechtlich 
verankerten Auftrag, Informationen zu sammeln und zu analysieren und ggf. 
die Informationen zu teilen. Auf operativer Ebene spielen die IT-Notfallteams 
(CSIRTs) eine Rolle. 

Die informationsrechtlichen Instrumente zur eigentlichen Generierung von 
Informationen sind vielfältig. Das Instrumentarium ist mit der NIS-Richtlinie 
und dem IT-Sicherheitsgesetz erweitert worden. Im Rahmen der Informations- 
beibringungspflichten erhalten sowohl das BSI als auch die Bundesnetzagentur 
von den Betreibern kritischer Infrastrukturen respektive den Telekommunikati- 
onsunternehmen regelmäßige Nachweise über die Einhaltung der Sicherheits- 
standards. Für die Einhaltung der Sicherheitsmaßnahmen durch Anbieter digi- 
taler Dienste ist unionsrechtlich vorgesehen, dass die NIS-Behörde lediglich im 
Wege von Ex-post-Überwachungsmaßnahmen tätig werden darf, und dies auch 
nur dann, wenn ihr Nachweise darüber vorliegen, dass die Anforderungen nicht 
eingehalten werden. 

Meldepflichten bestehen für Telekommunikationsunternehmen, Betreiber 
kritischer Infrastrukturen, Anbieter besonderer digitaler Dienste sowie daten- 
schutzrechtlich Verantwortliche. Die Meldetatbestände weisen aber Unterschie- 
de auf, die zu jeweils anderen Meldeschwellen führen. Eine einheitliche unions- 
rechtliche Klassifikation erscheint hier sinnvoll. 

Die Meldepflichten aufgrund von Sicherheitsverletzungen bei Telekommuni- 
kationsunternehmen, Betreibern kritischer Infrastrukturen und Anbietern digi- 
taler Dienste bezwecken in der Hauptsache die Gewinnung von Erkenntnissen 
über die aktuelle und zukünftige Gewährleistung der Sicherheit. Die Melde- 
pflichten aufgrund von Datenschutzverletzungen dienen vorrangig dazu, die 
Datenschutzaufsicht in den Stand zu versetzen, die Rechte der nunmehr von 
einer Verletzung Betroffenen zu schützen. Zwar können über die Meldung auch 
Kenntnisse über die Sicherheit von Datenverarbeitungssystemen oder über die 
allgemeine Sicherheitslage abgeleitet werden, der Informationsgewinn ist aber 
eher Reflex als das Ziel der datenschutzrechtlichen Meldepflicht. 

Die inhaltlichen Vorgaben, die eine Meldung enthalten soll, regeln weder das 
Sekundärrecht noch die einfachen Gesetze mit einer spezifizierenden Detail- 
tiefe. Die Artund Weise der Kommunikation ist ebenfalls nicht vorgegeben. Aus 
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der Funktion der Meldepflichten und der grundrechtlichen Eingriffstiefe, welche 
die Einführung eines Meldesystems für die Unternehmen darstellt, folgt jedoch, 
dass sich die Meldung nicht in der bloßen Mitteilung der Tatsache eines Angriffs 
erschöpft. Die Meldungen dienen auch der Informationsweitergabe, sodass an- 
dere potenziell betroffene Unternehmen nach der Information durch die zustän- 
dige NIS-Behörde konkrete Vorbereitungs- und Abwehrmaßnahmen treffen 
können. Die zu meldenden technischen Rahmenbedingungen eines Sicherheits- 
vorfalls können auch konkrete Informationen zu Sicherheitslücken beinhalten. 
Die zuständige Behörde oder das CSIRT muss zudem aus der Meldung bestimm- 
ten können, ob ein Sicherheitsvorfall grenzüberschreitende Auswirkungen hat. 

Soweit die Meldepflichten dazu dienen sollen, ein einheitliches Lagebild beim 
BSI bezüglich der Sicherheit in der Informationstechnik der kritischen Infra- 
strukturen zu erstellen, steht dies im Widerspruch zu den separat geregelten 
Meldeverfahren für Telekommunikations-unternehmen. Der Ausschluss der Te- 
lekommunikationsunternehmen aus dem Anwendungsbereich des BSIG schafft 
parallele Warn- und Meldestrukturen. Ein auf die zentrale Meldestelle ausge- 
richtetes Meldewesen ist neben dem zu erstellenden Lagebild außerdem für die 
Krisenkommunikation essenziell. Diese ist im Idealfall direkt und unverzüglich. 
Insbesondere bei gravierenden IT-Sicherheitsvorfällen sind die gewonnenen Er- 
kenntnisse schnellstmöglich auszutauschen. Dezentralisierte Kommunikations- 
wege konterkarieren die Alarmierungsfunktion, die das BSI übernimmt. De lege 
ferenda wäre $ 8c BSIG zu ändern oder dem BSI ausdrücklich die Rolle nicht 
nur als zentrale, sondern als alleinige Anlaufstelle zuzuschreiben. Die Aufgabe, 
„geeignete Kommunikationsstrukturen“ zur Krisenfrüherkennung, Krisenre- 
aktion und Krisenbewältigung aufzubauen, ist nicht nur rechtspolitisch ange- 
zeigt, sondern durch $ 3 Abs. 1 Nr. 15 BSIG geboten. Für eine solche Kommu- 
nikation eignen sich nur bidirektionale Meldewege über das Bundesamt. Die 
Regelung einer fragmentierten Aufsicht über kritische Infrastrukturen ist unver- 
hältnismäßig, wenn sie zum Schutz der Infrastrukturen nicht geeignet ist. 

Hinsichtlich der für die Netz- und Informationssicherheit wichtigen Soft- und 
Hardware kann sich das BSI auf eine Befugnis zur anlassunabhängigen Unter- 
suchung von IT-Sicherheitsprodukten stützen. Grundsätzlich strafrechtlich be- 
wehrte Methoden wie das Reverse Engineering können auch für Produkte ge- 
rechtfertigt angewendet werden, die noch nicht auf dem Markt sind. In gewisser 
Weise ausgeglichen ist damit, dass die Hard- und Softwarehersteller von dem 
Verpflichtungskanon der IT-Sicherheit, insbesondere den Meldepflichten, aus- 
genommen sind, obwohl Angriffe auf die Telekommunikationsnetze regelmä- 
Big mittels manipulierter Hard- oder Software erfolgen. 

Der Bundesnetzagentur steht außerhalb des ökonomischen Bereichs mit $ 115 
Abs. 1 S. 2 TKG eine Informationsbefugnis im Bereich der Sicherheit zu. Diese 
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Informationsbefugnis dient der Erfüllung der Aufsichtsfunktion der Behörde. 
Einzelfallbezogene Auskunftsersuchen, die über die zur Überwachung der Er- 
füllung der materiell-rechtlichen wie informationsverwaltungsrechtlichen Vor- 
schriften des 7. Teils des TKG hinausgehen, sind in diesem Bereich grundsätz- 
lich unzulässig. 

Den Nachrichtendiensten kommt durch weitreichende Grundlagen zur Infor- 
mationserhebung eine wachsende Bedeutung für die Gewährleistung der Inter- 
netsicherheit zu. Insbesondere der Bundesnachrichtendienst kann im Rahmen 
der technischen Fernmeldeaufklärung den internationalen Telekommunika- 
tionsverkehr, der unter das G10 fällt, mit SIGINT-Methoden nach Schadsoft- 
ware und anderen Cyberbedrohungen untersuchen. Die Begrenzungsregelung 
ist bei strenger Auslegung am gemessenen Datenstrom und nicht an der Vorab- 
selektion des inländischen Telekommunikationsverkehrs zu bemessen. Eine 
Überwachung des Internetverkehrs in grundsätzlich allen Telekommunikations- 
netzen erlaubt die Ausland-Ausland-Fernmeldeaufklärung auf Grundlage des 
BNDG. Eine Begrenzung besteht im Wesentlichen nur durch das Gebot der 
Erforderlichkeit der Daten für die Aufgabenerfüllung und die tatsächlichen 
technischen wie finanziellen Limitierungen. Der Bestand dieser Befugnisse ist 
ob der möglichen verfassungsrechtlichen Bedenken noch unklar. Im Einzelfall 
dürfen darüber hinaus Nachrichtendienste zur Aufgabenerfüllung Auskunfts- 
verlangen an Anbieter von Telemediendiensten richten. An Telekommunikations- 
unternehmen können solche Auskunftsverlangen gerichtet werden, die Infor- 
mationen über die Strukturen der Dienste und Netze betreffen, die erforderlich 
sind, um die G10- und BNDG-Beschränkungen, die der Abwehr von Cyber- 
angriffen dienen können, durchzuführen. 

Zur Wissensproduktion greift die NIS-Verwaltung neben den Informations- 
befugnissen auf die kooperative Übernahme verwaltungsexternen Wissens und 
Expertise von Privaten zurück. Die Zusammenarbeit mit Privaten ist zum Teil 
als gesetzlicher Auftrag ausgestaltet. Infolge der Einbindung und Übernahme 
verwaltungsexternen Wissens gibt der Staat Teile der Handlungskompetenz an 
private Akteure ab. Das besagt hingegen nicht, dass die Behörde dadurch gänz- 
lich entlastet würde oder die Wissensgenerierungsprozesse externalisieren 
kann. In jedem Falle bedarf es eines spezifischen Nichtwissens, d.h. eines Meta- 
Wissens, um die Koordinierungsfunktion überhaupt einnehmen zu können und 
erfolgreich außeradministratives Wissen zu übernehmen. Die Behörde muss 
mit hochqualifiziertem Personal ausgestattet sein, schon um die Expertise in der 
Breite zu entwickeln und eine qualitative Auswahl bezüglich der in Betracht 
kommenden externen Sachverständigen bzw. der Vergabe spezifischer amtsbe- 
zogener Aufgaben treffen zu können. Eine unzulässige Indienstnahme der Pri- 
vaten ist in der bisherigen Ausgestaltung der Kooperation nicht zu erkennen. 
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Eine wesentliche Grenze der staatlichen Informations- und Wissensproduk- 
tion bildet der Grundsatz der Selbstbelastungsfreiheit nicht. Dieser für Melde- 
pflichten relevante Grundsatz schützt grundsätzlich davor, sich durch eine Infor- 
mation in die Gefahr einer staatlichen Sanktion zu begeben. Allerdings schützt 
der Grundsatz nicht absolut und steht der Meldepflicht als solcher nicht entgegen. 
Sinnvoll erscheint es hier im Sinne eines Anreizes zur Erfüllung der Melde- 
pflichten, systematisch einheitlich Verwendungsbeschränkungen zu regeln. 

Dem Datenschutzrecht kommt als Regulativ kalkulierten Nichtwissens be- 
grenzende Wirkung auf die Informationsgenerierung zu, sofern es anwendbar 
ist. Dies hängt insbesondere davon ab, ob Maschinendaten als personenbezo- 
gene Daten einzuordnen sind. Maßgeblich ist, ob mit rechtlichen Mitteln ein 
Zusatzwissen eingeholt werden kann, mit dem die Herstellung eines Personen- 
bezugs möglich ist. Werden die von den Unternehmen und der NIS-Verwaltung 
verarbeiteten Daten als personenbezogene Daten qualifiziert, bestehen jedoch 
Rechtsgrundlagen, auf die sich Maßnahmen der Sicherheitsgewährleistung stüt- 
zen können. Prinzipiell erkenntnishemmend wirkt bei Anwendung des Daten- 
schutzrechts der Grundsatz der Datenminimierung. Kleinere Datenmengen er- 
fordern mehr Wissen darüber, welche Erkenntnisse angestrebt werden. Dagegen 
bestehen bei größeren Datenmengen mehr Verknüpfungsmöglichkeiten, die 
zusätzliches Wissen durch nicht vorhersehbare Korrelationen entstehen lassen 
können. 

Vor dem Hintergrund der prinzipiell geringen Eingriffstiefe ist die Verarbei- 
tung mit dem allgemeinen Datenschutz vereinbar. Die Grundsätze zur Zweck- 
bestimmung und Datenminimierung sind eingehalten und daher die Schaffung 
eines Datenschutzregimes mit höherer Regelungsdichte, trotz Öffnungsklauseln 
in der DS-GVO, nicht angezeigt. 

Schließlich kommt dem Schutz von Unternehmensgeheimnissen grundsätz- 
lich begrenzende Wirkung zu. Sicherheitsbezogene Informationen wie etwa un- 
ternehmensintern detektierte Sicherheitslücken können geschützte Betriebs- 
und Geschäftsgeheimnisse sein. Eingriffe in die Berufsfreiheit und das norm- 
geprägte Eigentumsrecht sind jedoch gerechtfertigt, wenn sie sich auf eine 
gesetzliche Grundlage stützen und verhältnismäßig sind. Dem Geheimhaltungs- 
interesse der betroffenen Unternehmen wird im Rahmen der Meldepflichten von 
Betreibern kritischer Infrastrukturen durch ein abgestuftes Meldeverfahren und 
im Übrigen durch das Verwaltungsgeheimnis, das die Verwaltung verpflichtet, 
geschützte Geheimnisse nicht unbefugt zu offenbaren, Rechnung getragen. 

Eine signifikante Grenze für die Generierung von Informationen stellen der 
Daten- und Unternehmensdatenschutz für die verhältnismäßige Datenverarbei- 
tung zum Zwecke der Gewährleistung der Netz- und Informationssicherheit 
nach allem nicht dar. 


$ 4 Transfer von Informationen im Rahmen 
der europäischen Zusammenarbeit zur Gewährleistung 
der Netz- und Informationssicherheit 


Im vorangegangenen Kapitel wurde untersucht, welche NIS-Akteure mit wel- 
chen rechtlichen Instrumenten im Bereich der Netz- und Informationssicherheit 
Informationen generieren, um daraus entscheidungsrelevantes Wissen zu pro- 
duzieren. Zu einer für die effektive Gewährleistung der Sicherheit ausreichen- 
den Breitenwirkung führt das Wissen aber erst, wenn es zwischen den relevan- 
ten Akteuren geteilt und weitergegeben wird. Vor allem aufgrund der Bedeu- 
tung für den europäischen Binnenmarkt kommt dem auf Gegenseitigkeit 
beruhenden Informationsaustausch zur Gewährleistung der Internetsicherheit 
eine besondere Bedeutung zu. 

Mit Blick auf die europäische Dimension der Netz- und Informationssicher- 
heit verdienen die Regelungen über den Transfer der generierten Informationen 
und den Austausch von Wissen besondere Aufmerksamkeit, da die Weitergabe 
von Informationen eine zentrale Funktionsbedingung für die unionsweite Ko- 
operation im Bereich der Internetsicherheit ist (A.). Der Informationsaustausch 
im Rahmen der NIS-Richtlinie, die die wesentliche Struktur der NIS-Zusam- 
menarbeit vorgibt, findet aufgrund verschiedener Informationsaustauschme- 
chanismen im vertikalen wie horizontalen Verhältnis statt und wird vor allem 
durch primärrechtliche Kooperationspflichten gefördert (B.). Besondere Gren- 
zen des Informationsaustausches ergeben sich vor allem aus dem Schutz perso- 
nen- wie unternehmensbezogener Daten, den Besonderheiten in der organisa- 
tionsrechtlichen Gestaltung der NIS-Akteure und dem Informationsverweige- 
rungsrecht der Mitgliedstaaten (C.). 
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A. Funktion des Informationstransfers 
für die Sicherheitsgewährleistung 


Im Nachfolgenden wird aufgezeigt, dass der europäische Verwaltungsverbund 
eine kognitive Dimension aufweist (I.). Der Blick auf das Sicherheitsverwal- 
tungsrecht im Allgemeinen und auf die europäische Zusammenarbeit im Be- 
reich der Sicherheit von Netzen und Informationssystemen im Besonderen 
zeigt, dass Sicherheit auch und vor allem mit informationsverwaltungsrechtli- 
chen Mitteln gewährleistet wird (Il.). 


I. Kognitive Dimension des Europäischen Verwaltungsverbunds 


Mit der voranschreitenden technischen und rechtlichen Internationalisierung 
gehört das Wissensmanagement in zunehmendem Maße zu den zentralen Auf- 
gaben des Verwaltungsrechts.! Insbesondere im europäischen Kontext zeigt 
sich in sachlicher Hinsicht das Bedürfnis nach einer Verzahnung der Rechtsord- 
nungen und -ebenen. Die Integrationsprozesse erfordern daher verwaltungs- 
rechtliche Strukturen für einen Informationsaustausch außerhalb des jeweils 
eigenen Verfügungsbereichs.” Kompetenzen mögen in auswärtigen Angelegen- 
heiten zwar weiterhin nach dem „Erfordernis der Einheitlichkeit des staatlichen 
Auftretens“ bei der Regierung monopolisiert sein,’ die Behörden hingegen 
kommunizieren zunehmend untereinander und ebenenübergreifend.* 

Der hierarchische Aufbau als herkömmliches Instrument zur Bewältigung 
von Komplexität kommt in einem verfassungsbedingten Mehrebenengefüge, 
dessen Verwaltungsverfahren sich durch eine polyzentrische Architektur aus- 
zeichnen, kaum in Betracht.’ Aufgefangen wird die Komplexitätssteigerung des 
europäischen Verwaltungsrechts durch die Konzeption komplexerer Vollzugs- 
modelle. Die Verschaltung der Vollzugsstrukturen wird durch deskriptiv-analy- 


1 Hofmann/Rowe/Türk, Administrative Law and Policy of the European Union, 2011, 
S. 411; vgl. Augsberg, Informationsverwaltungsrecht, 2014, S. 24. 

2 Schmidt-Aßmann, Der Staat 45 (2006), 315 (315 ff); vgl. Möllers/Terhechte, Europäi- 
sches Verwaltungsrecht und Internationales Verwaltungsrecht, in: Terhechte (Hrsg.), Verwal- 
tungsrecht der Europäischen Union, 2011, $40; Slaughter, Global Government Networks, 
Global Information Agencies, and Disaggregated Democracy, in: Ladeur (Hrsg.), Public Go- 
vernance in the Age of Globalization, 2004, S. 121 ff. 

3 Möllers, ZaöRV 65 (2005), 351 (352). 

4 Vgl. zur Entwicklung vom bilateralen zum automatisierten steuerlichen Informations- 
austausch Czakert, DStR 2015, 2697 (2697 £.). 

5 Zuhierarchischen Organisationsformen Baecker, Organisation als System, 1999, S. 221 ff.; 
allgemein Slaughter, A new world order, 2004. 
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tische Metaphern beschrieben.° Begriffe wie Verwaltungsverbund’, Multi- 
Level-Governance® oder Informationsverbund’ sollen die beobachtbaren Struk- 
turen einfangen und operationalisieren. Eine strikte Trennung der Vollzugsfor- 
men ist kaum möglich, weil in den netzwerkartigen Strukturen gemeinsame 
Verfahren praktiziert werden und es zu sich intensivierenden Verknüpfungen 
und Kooperationen der Verwaltungen kommt." Infolge der sich herausbildenden 
komplexen Verwaltungszusammenhänge verschwimmt die herkömmliche Tren- 
nung der Vollzugsarten im europäischen Verwaltungsrecht." 

Im Sinne einer kognitiven Konzeptualisierung kann der europäische Verwal- 
tungsverbund insgesamt als Lernverbund begriffen werden.!? Diese Konzeptu- 
alisierung berücksichtigt den Umstand, dass die Verwaltungskooperation viel- 
fach über den Austausch von Einzelinformationen hinausgeht. Gegenstand der 
Kooperation sind auch Wissen, Kompetenzen und Erfahrungen, die häufig nicht 
kodifiziert, sondern eher unbewusst und implizit vorhanden sind. Als Charakte- 
ristikum des Informationsverwaltungsrechts verweist das Konzept des Lernver- 
bunds darauf, dass und wie Verwaltungen lernen, ihr Handeln im Lichte neuer 
Kenntnisse und Einsichten zu verändern, zu entwickeln und zu wandeln." Die 
Perspektive des Lernens tritt vor allem dann in Erscheinung, wenn die (selbst- 


6 Vgl. Kahl, Der Staat 50 (2011), 353 (354 f.); Britz, EuR 2006, 46 (47); für den Bereich der 
Telekommunikation Trute, Der europäische Regulierungsverbund in der Telekommunikati- 
on, in: Osterloh/Schmidt/Weber (Hrsg.), Staat, Wirtschaft, Finanzverfassung: Festschrift für 
Peter Selmer, 2004, S. 565 ff. 

7 Schmidt-Aßmann, Der Europäische Verwaltungsverbund und die Rolle des Europäi- 
schen Verwaltungsrechts, in: ders./Schöndorf-Haubold (Hrsg.), Der Europäische Verwal- 
tungsverbund, 2005, S. 1 (16 f.). 

8 Zur Verfasstheit öffentlicher Gewalt in Mehrebenensystemen Pernice, Multilevel Cons- 
titutionalism and the Treaty of Amsterdam, CMLR 6 (1999), 703 (703 ff.). 

° Von Bogdandy, Die Informationsbeziehungen im europäischen Verwaltungsverbund, 
in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrecht, 
Band II, 2. Aufl. 2012, $ 25 Rn. 106£. 

10 Schneider, NVwZ 2012, 65 (65). 

1 Stelkens, in: ders./Bonk/Sachs (Hrsg.), VwVfG, 8. Aufl. 2014, Europäisches Verwal- 
tungsrecht, Europäisierung des Verwaltungsrechts und Internationales Verwaltungsrecht, 
Rn. 120, 177 ff. 

12 Eifert, Europäischer Verwaltungsverbund als Lernverbund, in: Spiecker gen. Döhmann/ 
Collin (Hrsg.), Generierung und Transfer staatlichen Wissens im System des Verwaltungs- 
rechts, 2008, S. 159 (159 ff.); ders., Regulierte Selbstregulierung und die lernende Verwaltung, 
in: Berg (Hrsg.), Regulierte Selbstregulierung als Steuerungskonzept des Gewährleistungs- 
staates, Die Verwaltung, Beiheft 4, 2002, S. 137 (137 ff.); zum Europäischen Mehrebenen- 
system als Lernchance Kaiser, Wissensmanagement im Mehrebenensystem, in: Schuppert/ 
Voßkuhle (Hrsg.), Governance von und durch Wissen, 2008, S. 217 (223 ff.). 

3 Für den betriebswirtschaftlichen Vorlauf des Konzepts lernender Organisationen 
Garvin, Harvard Business Manager 1/1994, 74 (76). 
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ständigen) Verwaltungseinheiten „vom Recht in (Informations-)Beziehungen 
gesetzt werden“.'* Eine Leitbildfunktion für die behördliche Wissensproduktion 
im Unionsrecht kann den Verpflichtungen zur „guten Verwaltung“ zukommen. 
Neben Art. 41 GRCh, der in einem engeren Sinne die Außenbeziehungen der 
Verwaltung betrifft," sind allgemeine Rechtsgrundsätze wie die „gute Verwal- 
tungsführung“ und „ordnungsgemäße“ Verwaltung anerkannt." Dies gilt für 
die Informationsgenerierung zumindest insoweit, als durch prozedurale Mecha- 
nismen wie den Untersuchungsgrundsatz versucht wird, rechtsstaatliche Ratio- 
nalität zu gewährleisten.” In Bereichen wie der Bankenregulierung wird die 
Lernorientierung ganz besonders im Kontext der cognitive governance betrach- 
tet und gar für die Bewertung der Leistungsfähigkeit der Risikoregulierung her- 
angezogen." 

Die europäische Verwaltung ist außerdem im Vergleich zu den nationalstaat- 
lichen Verwaltungen in besonderem Maße auf Informationen, Wissen und Ler- 
nen angewiesen. Je nach Regelungsbereich kann auf europäischer Ebene das 
Recht nur durch Informationen durchgesetzt werden. Soweit der europäischen 
Exekutive Rechts- und Fachaufsichtsbefugnisse fehlen, sind Informationspflich- 
ten und Informationsrechte die zentralen Herrschaftsinstrumente.'” Dem Infor- 
mationsverwaltungsrecht kommt insofern auch eine Kompensations- und Aus- 
gleichsfunktion zu.” Insofern ist die Union „zuallerst Informationsverwal- 
tung“! und das auf Francis Bacon zurückgehende Weber’sche Diktum von der 


14 Eifert, Europäischer Verwaltungsverbund als Lernverbund, in: Spiecker gen. Döhmann/ 
Collin (Hrsg.), Generierung und Transfer staatlichen Wissens im System des Verwaltungs- 
recht, 2008, S. 159 (160). 

15 Magiera, in: Meyer (Hrsg.), Charta der Grundrechte der Europäischen Union, 4. Aufl. 
2014, Art. 41 Rn. 7. 

16 Vgl. Kopp/Raumsauer, VwVfG, 16. Aufl. 2015, $ 24 Rn. 3b. 

1 Voßkuhle, Sachverständige Beratung des Staates, in: Isensee/Kirchhof (Hrsg.), HbStR 
II, 3. Aufl. 2005, $ 43, Rn. 1. 

18 Siehe Kette, Bankenregulierung als Cognitive Governance, 2008, S. 26, zur „Kogniti- 
vierung von Regulierungsprogrammen“ und deren Folgeprobleme; allgemein Strulik, Cogni- 
tive Governance, in: Schuppert /Voßkuhle (Hrsg.), Governance von und durch Wissen, 2008, 
S. 87 ff.; ferner Schuppert, Governance durch Wissen, in: ders./Voßkuhle (Hrsg.), Governan- 
ce von und durch Wissen, 2008, S. 259 (264 ff.); Allgemeiner Ladeur, Der Staat 48 (2009), 
163 (177, 183 ff.); Willke, Smart Governance: governing the Global Knowledge Society, 2007, 
S. 34 ff., 130 ff. 

1% Von Bogdandy, Die Informationsbeziehungen im europäischen Verwaltungsverbund, 
in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwaltungs- 
rechts, Band II, 2. Aufl. 2012, § 25 Rn. 5. 

20 Sommer, Verwaltungskooperation am Beispiel administrativer Informationsverfahren 
im Europäischen Umweltrecht, 2003, S. 508 ff. 

2! Schmidt-Aßmann, Europäische Verwaltung zwischen Kooperation und Hierarchie, in: 
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Herrschaft der bürokratischen Verwaltung als „Herrschaft kraft Wissen“ nicht 
überholt.”? Art. 114 Abs. 3 S. 1 AEUV macht deutlich, dass bereits die Politik- 
entwicklung wissensbasiert ist. In ihren Vorschlägen von Maßnahmen zur Har- 
monisierung des Binnenmarktes geht die Kommission unter anderem im Be- 
reich der Sicherheit von einem hohen Schutzniveau aus und „berücksichtigt 
dabei insbesondere alle auf wissenschaftliche Ergebnisse gestützten neuen Ent- 
wicklungen.“ 

Wissen kann nur dann wirksam nutzbar gemacht werden, wenn es den rele- 
vanten Akteuren zur Verfügung steht. Sie können Informationen in neue Kon- 
texte setzen, sodass neue Erkenntnisse gefördert werden. Im Verhältnis zur 
Wissensgenerierung kommt dem Informationsaustausch keine nachrangige, 
sekundäre Funktion zu.” Im europäischen Mehrebenensystem ist die Gestal- 
tung des Informationsverwaltungsrechts als rechtlich dirigierte Informations- 
verteilung ein Hauptanliegen, um den Vollzug des Unionsrechts einheitlich und 
effizient zu organisieren.” Der in Art. 4 Abs. 3 EUV zum Ausdruck kommende 
Grundsatz der loyalen Zusammenarbeit zeigt, dass das Paradigma der Tren- 
nung nationaler und unionaler Verwaltung nicht dominieren kann. Um die Ziele 
in Art. 3 EUV zu verwirklichen, müssen die europäischen Verwaltungen koope- 
rieren.” Informationsaustausch ist der Anfang der Kooperation. Der kollabora- 
tive und koordinative Informationsaustausch führt nämlich zu einer Wechsel- 
wirkung, die das „Wissen der Verwaltung [...] fortlaufend reflexiv weiterentwi- 
ckelt“.2° Der „Zugriff auf Informationen [und] Sachwissen‘“ sowie „gegenseitige 
Lernprozesse“ sind daher gleichsam Ziele des europäischen Verwaltungsver- 
bunds.” 


Cremer et al. (Hrsg.), Tradition und Weltoffenheit des Rechts — Festschrift für Helmut Stein- 
berger, 2002, S. 1375 (1391). 

22 Weber, Wirtschaft und Gesellschaft, in: Winckelmann (Hrsg.), Nachdr. 5. Aufl. 2013, 
S. 129; vgl. mit Blick auf spezifisch moderne Problemstellungen ferner Wolf, „Herrschaft 
kraft Wissen“ in der Risikogesellschaft, Soziale Welt 39 (1988), 164 ff. 

233 Augsberg, Informationsverwaltungsrecht, 2013, S. 80; Spiecker gen. Döhmann, Wis- 
sensverarbeitung im Öffentlichen Recht, Rechtswissenschaft 2010, 247 (270). 

24 Mit Bezug auf den Aufbau eines Informationsnetzwerks Terhechte, Europäisches Verwal- 
tungsrecht und europäisches Verfassungsrecht, in: ders. (Hrsg.), Verwaltungsrecht der Europä- 
ischen Union, § 7, Rn. 29; vgl. Augsberg, Informationsverwaltungsrecht, 2013, S. 80, 100. 

25 Schmidt-Aßmann, EuR 1996, 270 (290); ders., Aufgaben und Perspektiven verwaltungs- 
rechtlicher Forschung, 2006, S. 431. 

26 Eifert, Europäischer Verwaltungsverbund als Lernverbund, in: Spiecker gen. Döhmann/ 
Collin (Hrsg.), Generierung und Transfer staatlichen Wissens im System des Verwaltungs- 
rechts, 2008, S. 159 (159). 

27 Zum Verfassungsverbund und Verfassungsnetzwerk Pernice, La Rete Europea di Cos- 
tituzionalitä — Der Europäische Verfassungsverbund und die Netzwerktheorie, ZaöRV 70 
(2010), 51 (61). 
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II. Verwaltungskooperation im Bereich Sicherheit von Netz- 
und Informationssystemen 


Am Beispiel des europäischen Sicherheitsverwaltungsrechts lässt sich darstel- 
len, dass der Rückgriff auf europäische Informationskooperation und Informa- 
tionsverwaltungsrecht auch der Effektivierung der nationalen Sicherheitsbemü- 
hungen dient (1.). Die hier relevante europäische Zusammenarbeit zur Gewähr- 
leistung der Sicherheit von Netzen und Informationssystemen ist in ähnlicher 
Weise als Gewährleistung der Sicherheit mit informationsverwaltungsrechtli- 
chen Mitteln angelegt (2.). 


1. Europäisches Sicherheitsverwaltungsrecht als 
Informationsverwaltungsrecht 


Das europäische Sicherheitsrecht hat sich in besonderem Maße zu einem Be- 
reich entwickelt, in welchem die informationelle Vernetzung im vertikalen, ho- 
rizontalen und diagonalen Verhältnis verdichtet ist. Für den Informationsaus- 
tausch zur präventiven Gefahrenabwehr und zur repressiven Strafverfolgung 
wurde der Begriff des europäischen Sicherheitsverwaltungsrechts geprägt.” 
Gemeint ist die Gewährleistung der Sicherheit innerhalb der EU mit verwal- 
tungsrechtlichen Mitteln. Die Entwicklung der europäischen Sicherheitsverwal- 
tung geht auf intergouvernementale Komplementärmaßnahmen zur Errichtung 
des Binnenmarktes zurück. Mit der Vergemeinschaftung, Institutionalisierung 
und schließlich der Aufgabe der Säulenstruktur mit dem Vertrag von Lissabon 
hat sich die Sicherheitsverwaltung dann zunehmend im Politikbereich des 
Raums der Freiheit, der Sicherheit und des Rechts (Art. 67 ff. AEUV) emanzi- 
piert.” Während es in nationalen Kontexten den Behörden um die Gewährleis- 
tung innerer Sicherheit und der Abwehr konkreter Gefahren geht, ist Gegen- 
stand der europäischen Sicherheitsgewährleistung hauptsächlich die Zusam- 
menarbeit, die Unterstützung und die Koordinierung der innerstaatlichen 
Sicherheitsbemühungen. Die Zuständigkeiten der Mitgliedstaaten werden dabei 
geschont, Kompetenzen werden grundsätzlich weder übertragen noch ersetzt. 
Europäisches Sicherheitsverwaltungsrecht ist daher in erster Linie als Informa- 
tionsverwaltungs- bzw. Verwaltungskooperationsrecht ausgeprägt, das den ein- 
zelstaatlichen Behörden die Zusammenarbeit ermöglicht und diese organisiert.” 


28 Schöndorf-Haubold, Europäisches Sicherheitsverwaltungsrecht, 2010. 

2 Schöndorf-Haubold, Europäisches Sicherheitsverwaltungsrecht, in: Terhechte (Hrsg.), 
Verwaltungsrecht der Europäischen Union, 2011, § 35 Rn. 17. 

30 Schöndorf-Haubold, Das Recht der Zivilen Sicherheit an der Schnittstelle von nationa- 
ler, europäischer und internationaler Zuständigkeit, in: Gusy/Kugelmann/Würtenberger 
(Hrsg), Rechtshandbuch Zivile Sicherheit, 2017, S. 691 (704), dazu ferner Schmidt-Aßmann, 
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Das Informationskooperationsrecht geht mitunter über die bloße Koordinierung 
hinaus, im Rahmen derer die Abstimmung auf horizontaler Ebene über Politi- 
ken und Aufgabenwahrnehmung stattfindet. Dabei geht es um das Zusammen- 
wirken des nationalen Verwaltungsrechts, des unionalen Eigenverwaltungs- 
rechts und des Unionsrechts zur gemeinsamen Aufgabenerfüllung.°' 

Die zahlreichen Informationssysteme in der Sicherheitsverwaltung (als Bei- 
spiele können die Informationsverwaltung durch Europol’ [TECS] oder das 
Schengener Informationssystem genannt werden) verfügen in der Regel über 
keine echten Eingriffsbefugnisse oder Befugnisse zur Erhebung von Daten und 
Informationen. Europäischen Informationsverfahren und -systemen kann aller- 
dings eine wichtige „Kompensations-, Sicherheits- und Auffangfunktion“ zuge- 
schrieben werden.” 

Das Schengener Informationssystem (SIS) etwa gleicht den nationalen Ver- 
lust nationaler Vollzugskompetenzen und -instrumente aus, der aus dem Weg- 
fall der Grenzkontrollen im Schengenraum resultiert. Das Informationssystem 
schafft Vorkehrungen für eine informatorisch abgesicherte grenzüberschrei- 
tende Aufsicht. 

Europäische Warnsysteme wie das Lebensmittelwarnsystem (RASFF) fun- 
gieren als Sicherheitsnetz für Gefahren, die von unionsweit zugelassenen oder 
zulassungsfrei vermarkteten Produkten ausgehen, indem über die Kommission 
sternförmig Warnmitteilungen bei Gefahren ausgegeben werden. Die Mitglied- 
staaten können Gegenmaßnahmen ergreifen, diese sind aber im Informations- 
system bekannt zu geben. 

Das TRACES-System fängt die mögliche europäische Reichweite von Tier- 
transporten auf und erweitert den Schutz, indem Tiertransporte informationell 
erfasst werden und grenzüberschreitende Besitz- und Eigentumswechsel unab- 
hängig vom Wissensstand der letzten Tierbesitzer dokumentiert werden, um 
potenzielle Verbreitungspfade von Tierseuchen zu klären. 


EuR 1996, 270 (290); ders., Aufgaben und Perspektiven verwaltungsrechtlicher Forschung, 
2006, S. 431. 

3! Vgl. Schmidt-Aßmann, Das allgemeine Verwaltungsrecht als Ordnungsidee, 2. Aufl. 
2006, S. 388 f.; zur Entwicklung siehe Sydow, Verwaltungskooperation in der Europäischen 
Union, 2004, S. 14ff.; vgl. Pitschas, Europäisches Verwaltungsverfahrensrecht und Hand- 
lungsformen der gemeinschaftlichen Verwaltungskooperation, in: Hill/ders. (Hrsg.), Europä- 
isches Verwaltungsverfahrensrecht, 2004, S. 301 f., 324. 

32 Schoppa, Europol im Verbund der Europäischen Sicherheitsagenturen, 2013, S. 95 ff. 

#3 Dazu und zum Folgenden Schneider, NVwZ 2012, 65 (65 f.); ähnlich Schmidt-Aßmann, 
Verfassungsprinzipien für den Europäischen Verwaltungsverbund, in: Hoffmann-Riem/ 
Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Band I, 2. Aufl. 
2012, § 5 Rn. 16. 
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2. Informationskooperation zur Gewährleistung der Netz- und 
Informationssicherheit 


Um die Effekte der Liberalisierung zu absorbieren, richten sich die Steuerungs- 
bemühungen der Kommission auch im Bereich der Netz- und Informationssi- 
cherheit schon früh darauf, die auf nationaler Ebene verschiedenen, dezentralen 
Regulierungen auf europäischer Ebene durch Informationsaustausch zu koordi- 
nieren und zu integrieren.” Vom Anspruch und vom Ansatz her schafft die 
Richtlinie 2016/1148 über Maßnahmen zur Gewährleistung eines hohen ge- 
meinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Uni- 
on (NIS-Richtlinie) die wesentlichen rechtlichen Rahmenbedingungen dafür, 
eine informationelle Kooperation zu etablieren. 

Dem Gesetzgebungsverfahren zur NIS-Richtlinie ist ein aufwendiger Kon- 
sultationsprozess vorausgegangen. Die Kommission hat in ihrer Wirkungsab- 
schätzung zur Richtlinie festgestellt, dass aus Gründen unterschiedlicher 
NIS-Kapazitäten in den Mitgliedstaaten auf europäischer Ebene ein unzurei- 
chender Informationsaustausch über Sicherheitsvorfälle, Risiken und Bedro- 
hungen besteht.” Das fragmentierte Vorgehen in den Mitgliedstaaten führte im 
Verhältnis zur hohen Integrationsdichte der digitalen Infrastrukturen in Europa 
zu einem unzureichenden europäischen Sicherheitsniveau. Die NIS-Richtlinie 
reagiert auf den fehlenden Mechanismus der vertrauensvollen Zusammenarbeit 
über Sicherheitsvorfälle und -risiken.”° Dementsprechend verfolgt die NIS- 
Richtlinie den Zweck, einen Rahmen für die Zusammenarbeit und den Informa- 
tionsaustausch zwischen den Mitgliedstaaten und den Computer-Notfallteams 
(CSIRTSs) zu schaffen (Art. 1 Abs. 2 und Kapitel 3 NIS-RL).?” 

Die Zusammenführung verteilten Wissens durch den Austausch von Infor- 
mationen kann zu konkreten und nutzbaren Erkenntnissen sowie zu einer diffe- 
renzierteren Lageeinschätzung führen. Die Zusammenführung von Informatio- 
nen ist sicherheitstechnisch sinnvoll, da internationale Angriffe in den verschie- 
denen Mitgliedstaaten regelmäßig auf denselben Methoden und Angriffswegen 
beruhen und unter Verwendung derselben Systeme durchgeführt werden. Durch 
informationelle Kooperation auf dem Gebiet der Netz- und Informationssicher- 
heit können schneller Handlungsmuster erkannt und wirksamer Gegenmaßnah- 


34 Vgl. Wiater, Sicherheitspolitik zwischen Staat und Markt, 2013, S. 210 ff; vgl. zur NIS- 
Politik der Kommission die Kommunikation „Protecting Europe from large scale cyber- 
attacks and disruptions: enhancing preparedness, security and resilience“, COM(2009) 149 
final, S. 6. 

35 Kommission, Commission Staff Working Document, Impact Assessment, SWD (2013) 
32 final, S. 25. 

36 Vgl. Entwurf einer NIS-RL, COM(2013) 48 final, S. 3. 

37 Siehe auch Erwägungsgründe 6, 43, 59 NIS-RL. 
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men eingeleitet werden. Andernfalls müssten alle Akteure und Institutionen 
selbst relevante Informationen zusammentragen und auswerten. Ausgehend von 
diesem Ansatz zielt der europäische Informationsaustausch also darauf, eine 
Wissensgemeinschaft (epistemic community) zu bilden und so die Beschrän- 
kungen aufgrund der nur begrenzten Rationalität (bounded rationality), denen 
Individuen wie Organisationen unterliegen und unter deren Bedingungen diese 
zu einer selektiven Berücksichtigung vorhandener Informationen neigen,’ par- 
tiell aufzuheben. 


B. Struktur des Informationsaustausches 


Nachdem für die europäische Verwaltung im Bereich der Netz- und Informati- 
onssicherheit das Informationsverwaltungsrecht als zentrale Funktionsbedin- 
gung ausgemacht wurde, ist nun zu untersuchen, in welchen informationsver- 
waltungsrechtlichen Strukturen der Informations- und Wissenstransfer erfolgt. 

Je nach Integrationsdichte findet der europäische Informationsaustausch im 
Wege verschiedener Bausteine europäischen Informations- und Wissensaustau- 
sches statt (1). Der Austausch von Informationen und Wissen im Rahmen der 
NIS-Kooperation beschränkt sich angesichts der vergleichsweise geringen Inte- 
gration nicht auf einen der Mechanismen (I.). Gefördert wird der Informations- 
austausch im Bereich der Netz- und Informationssicherheit durch primärrecht- 
liche Kooperationspflichten (III.). 


I. Formen des europäischen Informationstransfers 


Ein einheitliches europäisches Verfahrens- und Organisationsrecht, das als Fo- 
lie für die weitere Untersuchung herangezogen werden könnte, besteht mangels 
vereinheitlichter Kodifizierung nicht. Die rechtliche Struktur eines europäi- 
schen Informationsaustausches ist dem Verfahrens- und Organisationsrecht des 
jeweils eine Regelungsmaterie betreffenden Sekundärrecht zu entnehmen (1.). 
Phänomenologisch lassen sich aber Grundtypen des Informationsaustausches 
ausmachen (2.). 


38 Vgl. Schneider, Vorüberlegungen zum Informationsmanagement in europäischen Ver- 
waltungsverfahren, in: Lipowiecz/Schneider (Hrsg.), Perspektiven des deuschen, polnischen 
und europäischen Informationsrechts, S. 163 mit Verweis auf Simon, Organization Science 
1991, 125 ff. 
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1. Vielgestaltigkeit europäischer Informationsaustauschverfahren 


Der Informationsaustausch kann grundsätzlich vertikal, d.h. zwischen mit- 
gliedstaatlichen Behörden und unionalen Stellen, horizontal, d.h. zwischen Be- 
hörden und unterschiedlichen Mitgliedstaaten, sowie diagonal, d.h. unter Ein- 
schaltung von Informationsagenturen,°? verlaufen.* Die Gestaltung eines euro- 
päischen Informationsaustausches ist jedoch nicht durch ein europäisches 
Verfahrensrecht vorgegeben. Weder ist das Verfahrensrecht der Unionsorgane 
einheitlich kodifiziert noch sind die Verfahrensgesetze in den Mitgliedstaaten 
aufeinander abgestimmt.” Einige Mitgliedstaaten haben gar keine gesetzlichen 
Bestimmungen über das Verwaltungsverfahren. Die Kommission hat grund- 
sätzlich auch nicht die Kompetenzen einer Fach- und Rechtsaufsichtsbehörde.”? 
Auch sonst steht ihr grundsätzlich kein ungeschriebenes, allgemeines Wei- 
sungsrecht zu, mit dem sie einen bestimmten Informationsaustausch veranlas- 
sen könnte. Die rechtliche Erfassung und Analyse des institutionalisierten In- 
formationsmanagements in europäischen Verwaltungsverfahren steht insofern 
immer noch am Anfang.” 

Der Vollzug einer Informationskooperation folgt daher im Ausgangpunkt 
grundsätzlich den unionsrechtlichen Vollzugsprinzipien: dem Trennungsprin- 
zip einerseits und dem Kooperationsprinzip andererseits.” Die europäische 
Verwaltung ist außerhalb des Eigenverwaltungsrechts der EU für die Durchset- 
zung des Unionsrechts auf die mitgliedstaatlichen Behörden angewiesen.“ 


3 Kahl, Der Europäische Verwaltungsverbund: Strukturen — Typen — Phänomene, Der 
Staat 50 (2011), 353 (354 ff.). 

4 Augsberg, Informationsverwaltungsrecht, 2014, S.92; Schmidt-Aßmann, EuR 1996, 
270 (273). Entscheidungsvernetzungen werden im „inner-unionalen“ Bereich auch als „inter- 
vertikal“ oder „interhoriziontal“ bezeichnet, so etwa Siegel, Entscheidungsfindung im Ver- 
waltungsverbund, 2009, S. 320 f. 

4 Vgl. nunmehr den ReNEUal-Musterentwurf (ME) für ein EU-Verwaltungsverfahrens- 
recht. Schneider/Hofmann/Ziller (Hrsg.), ReNEUAL-Musterentwurf für ein EU-Verwal- 
tungsverfahrensrecht, 2015. Dazu Lenz, NVwZ 2016, 38 (38ff.). Der ME soll im Übrigen 
nicht für mitgliedstaatliche Behörden gelten, soweit er nicht für anwendbar erklärt wird (Art. 
I-1 ME). 

42 Hatje, Die gemeinschaftsrechtliche Steuerung der Wirtschaftsverwaltung, 1998, S. 156 ff. 

83 Schneider, Vorüberlegungen zum Informationsmanagement in europäischen Verwal- 
tungsverfahren, in: Lipowicz/ders. (Hrsg.), Perspektiven des deutschen, polnischen und eu- 
ropäischen Informationsrechts, 2011, S. 159 (186). 

4 Dazu Augsberg, Europäisches Verwaltungsorganisationsrecht und Vollzugsformen, in: 
Terhechte (Hrsg.), Verwaltungsrecht der Europäischen Union, 2011, $ 6 Rn. 8; für den prinzi- 
piellen Vorrang des mitgliedstaatlichen Vollzugs von Danwitz, Europäisches Verwaltungs- 
recht, 2008, S. 303. 

45 Priebe, Die Aufgaben des Rechts in einer sich ausdifferenzierenden EG-Administra- 
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Liegt für einen Regelungsbereich die Kernzuständigkeit bei den Mitgliedstaa- 
ten, resultiert eine dezentrale Verwaltungsstruktur. Eine solche Struktur ist eng 
verbunden, aber nicht gleichbedeutend mit dem indirekten Vollzug des Unions- 
rechts. Demnach wenden mitgliedstaatliche Behörden nationales Recht an, das 
jedoch durch das EU-Recht inhaltlich determiniert ist (mittelbar mitgliedstaat- 
licher Vollzug). Im Bereich des indirekten Vollzugs obliegt es nach Art. 291 
Abs. 1 AEUV den Mitgliedstaaten, das Unionsrecht auszuführen (Trennungs- 
prinzip). 

Soweit Mitgliedstaaten das Vollzugsrecht aufgrund ihrer Verwaltungsauto- 
nomie selbst gestalten und eigene Verfahren der Informationsgenerierung und 
des Informationstransfers festlegen, haben sie die Prinzipien der einheitlichen 
Anwendung des Unionsrechts zu beachten. Die nationalen Gesetze haben insbe- 
sondere dem Äquivalenzprinzip und dem Effektivitätsprinzip zu genügen.“ 
Eine nationale Stelle, die unionsrechtlich eine Informationspflicht trifft, kann 
sich aufgrund des auf dem Effektivitätsgebot folgenden Vereitelungsverbots 
nicht auf das Fehlen hinreichender nationaler Befugnisnormen berufen.” 

Die Rechtsgrundlagen zum interadministrativen Transfer von Informationen 
sind also entweder dem anwendbaren Unionsrecht oder dem nationalen Recht 
zu entnehmen.*® Für die Untersuchung des Vollzugs einer Informationskoope- 
ration ist daher das jeweils konkretisierte Verfahrens- und Organisationsrecht 
einer Regelungsmaterie maßgebend. 


tion, in: Schmidt-Aßmann/Hoffmann-Riem (Hrsg.), Strukturen des Europäischen Verwal- 
tungsrechts, 1999, S. 71 f. 

46 EuGH, verb. Rs. C-205-215/82; EuGH, C-392/04 und C-422/04, Rn. 57. Dazu Stelkens, 
in: ders./Bonk/Sachs (Hrsg.), VwVfG, 8. Aufl. 2014, Europäisches Verwaltungsrecht, 
Rn. 96 f.; Sydow, Verwaltungskooperation in der Europäischen Union, 2004, S. 105 (Fn. 23); 
vgl. Hombergs, Europäisches Verwaltungskooperationsrecht auf dem Sektor der elektroni- 
schen Kommunikation, 2006, S. 72; Ohler, Europäisches und nationales Verwaltungsrecht, 
in: Terhechte (Hrsg.), Verwaltungsrecht der Europäischen Union, 2011, $9 Rn. 11. 

# Schneider, Vorüberlegungen zum Informationsmanagement in europäischen Verwal- 
tungsverfahren, in: Lipowicz/ders. (Hrsg.), Perspektiven des deutschen, polnischen und eu- 
ropäischen Informationsrechts, 2011, S. 159 (172), der weiter fragt, ob das unionale Vereite- 
lungsgebot zu einem strengeren Gebot effektiver Informationshilfe auszubauen ist; vgl. auch 
David, Inspektionen als Instrument der Vollzugskontrolle im Europäischen Verwaltungsver- 
bund, in: Schmidt-Aßmann/Schöndorf-Haubold (Hrsg.), Der Europäische Verwaltungsver- 
bund, 2005, S. 237 (251). 

48 Von Danwitz, Europäisches Verwaltungsrecht, 2008, S. 312, 618; vgl. Röhl, Ausgewähl- 
te Verwaltungsverfahren, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), Grund- 
lagen des Verwaltungsrechts, Band II, 2. Aufl. 2012, $30 Rn. 48; vgl. Galetta/Hofmann/ 
Schneider, European Public Law 20 (2014), 65 ff. 
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2. Grundtypen europäischer Informationsaustauschmechanismen 


Die Grundform der grenzüberschreitenden behördlichen Zusammenarbeit ist 
die Amtshilfe.”” Die Amtshilfe in Gestalt der Informationshilfe ist die klassi- 
sche Form der Informationskooperation.° Die Informationshilfe erfolgt gemäß 
der Funktionsweise der Amtshilfe auf Ersuchen sowie ad hoc. Sie kommt damit 
bei spontanen Einzelfragen in den Verwaltungen zum Einsatz.°! Die Informa- 
tionshilfe dient ihrem Wesen nach der Unterstützung fremder Aufgaben auf 
Ersuchen hin und unterscheidet sich insofern von der gemeinsamen Aufgaben- 
verantwortung.” Eine allgemeine primärrechtliche Rechtsgrundlage für die 
Amtshilfe ist allerdings nicht vorgesehen; sie resultiert auch nicht aus dem oben 
beschriebenen Grundsatz der loyalen Zusammenarbeit in Art. 4 Abs. 3 BUV.? 
Sie ist punktuell im Primärrecht”* und in Richtlinien sowie Verordnungen” ge- 
regelt. 

Von den Auskunftspflichten im Rahmen der anfragebezogenen Amtshilfe 
sind die Informationsbeschaffungspflichten zu unterscheiden. In der Regel han- 
delt es sich um spezifizierte Mitteilungspflichten, die anlassbezogen oder anlas- 
sunabhängig ausgestaltet sein können. Eine nationale Behörde kann etwa auf 
Anfrage der Kommission verpflichtet sein, bei einem Unternehmen Informatio- 
nen einzuholen.” Auskunftspflichten entstehen reaktiv aber auch bei einem Er- 
suchen von Seiten anderer Verwaltungseinheiten.’’ Unterrichtungspflichten, die 
eine Stelle verpflichten, von sich aus aktiv tätig zu werden, greifen, wenn ein 
bestimmter Tatbestand erfüllt ist. Bei Berichtspflichten muss die relevante In- 
formation in qualifizierter Form, d.h. systematisch und umfassend, übermittelt 
werden.” Notifizierungspflichten haben die Eigenschaft, dass sie rechtsförmig 
sind und Rechtsfolgen auslösen können.‘ Pflichten zur Gewährung von Infor- 


# Vgl. Ohler, Europäisches und nationales Verwaltungsrecht, in: Terhechte (Hrsg.), Ver- 
waltungsrecht der Europäischen Union, 2011, § 9 Rn. 31. 

50 Schöndorf-Haubold, Europäisches Sicherheitsverwaltungsrecht, 2010, S. 91. 

5! Wettner, Die Amtshilfe im Europäischen Verwaltungsrecht, 2005, S. 141. 

5 Wettner, Die Amtshilfe im Europäischen Verwaltungsrecht, 2005, S. 190. 

5 Kahl, in: Calliess/Ruffert (Hrsg.), EUV/ABUV, 4. Aufl. 2011, EUV, Art. 4 Rn. 113 („al- 
lenfalls die Pflicht zur kooperationsfreundlichen Auslegung spezieller Vorschriften über eine 
Amts- oder Rechtshilfe“); Hatje, in: Schwarze/Becker/ders./Schoo (Hrsg.), EU-Kommentar, 
3. Aufl. 2012, EUV, Art. 4 Rn. 79. 

5 Zum Beispiel Art. 105 Abs. 1 S.2 AEUV. 

55 Art. 61 DS-GVO; vgl. §§ 8a ff. VwVfG. 

56 Zum Beispiel Art. 11 der Kartellverfahrens-Verordnung (EG) 1/2003. 

57 Zum Beispiel Art. 15 Abs. 4 der Abwasser-Richtlinie RL 91/27/EWG. 

58 Zum Beispiel Art. 8 der Informations-Richtlinie RL 98/34/EG. 

5 Zum Beispiel Art. 16 der Abwasser-Richtlinie RL 91/272/EWG. 

60 Zum Beispiel Art. 9 der Abfallverbringungs-Verordnung (EG) Nr. 1013/2006. 
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mationen bestehen zudem im Rahmen von Inspektionsrechten, wobei es sich 
um konkrete Instrumente der Vor-Ort-Kontrolle europäischer Aufsichtsstellen 
kraft sekundärrechtlicher Anordnung handelt.°' Sie tragen zwar zur Informa- 
tionsproduktion bei, haben aber den primären Zweck der Vollzugskontrolle.° 

Das koordinierte Zusammenspiel unterschiedlicher Informationspflichten ist 
das eigentliche Charakteristikum der „Informationsverteilungsprozesse im 
Mehrebenengeflecht der EU“. Die Verkopplung und Integration der Mittei- 
lungs- und Weiterleitungspflichten vollzieht sich über das immer häufiger ein- 
gesetzte Instrument der EU-Informationssysteme.‘* Darunter sind besonders 
intensive Formen grenzüberschreitender interadministrativer Verbindungen zu 
verstehen. Zu den Merkmalen gehört ein erhöhter Grad der Institutionalisierung 
und der Dauerhaftigkeit.°° Im Bereich der Informationssysteme lösen sich die 
Regelungen zudem von der strikten Ausrichtung auf die mitgliedstaatliche Zu- 
sammenarbeit ab und es kommt zu einer eigenständigen europäischen Sicher- 
heitsverwaltung mit einem Überbau europäischer Stellen.“ 


II. Ausgestaltung der Informationszusammenarbeit durch 
die NIS-Richtlinie 


Gemessen an der Typologie europäischer Informationsaustauschverfahren ist 
die NIS-Informationskooperation in ihrer Grundstruktur dezentral angelegt. 
Sie geht über den Informationsaustausch im Wege der Informationshilfe hinaus, 
kann aber noch nicht als integriertes Informationssystem bezeichnet werden. In 
organisationsrechtlicher Hinsicht kann zwischen strategischem und operativem 
Informationsaustausch unterschieden werden (1.). In verfahrensrechtlicher Hin- 
sicht vollzieht sich der Informationsaustausch anlass- und gegenstandsbezogen 
im vertikalen wie horizontalen Verhältnis (2.). 


61 Ohler, in: Streinz (Hrsg.), EUV/AEUV, 2. Aufl. 2012, AEUV, Art. 197 Rn. 5. 

€ David, Inspektionen als Instrument der Vollzugskontrolle im Europäischen Verwal- 
tungsverbund, in: Schmidt-Aßmann/Schöndorf-Haubold (Hrsg.), Der Europäische Verwal- 
tungsverbund, 2005, S. 237 ff. 

6% Augsberg, Informationsverwaltungsrecht, 2014, S. 93 f. 

64 Schneider, NVwZ 2012, 65 (65); zum weiteren Ausbau der Informationsaustausch- 
instrumente Kommission, Die Europäische Sicherheitsagenda, COM(2015) 185 final, S. 6. 

65 Heußner, Informationssysteme im Europäischen Verwaltungsverbund, 2007, S. 18 f. 

66 Schöndorf-Haubold, Europäisches Sicherheitsverwaltungsrecht, in: Terhechte (Hrsg.), 
Verwaltungsrecht der Europäischen Union, 2011, § 35 Rn. 6f.; zu Beispielen für Informa- 
tionssysteme bereits unter § 4 A. II. 1. 
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1. Organisationsrechtliche Ausgestaltung 


Die informationelle Kooperation ist sowohl strategisch als auch operativ. Eine 
Kooperationsgruppe ist zur Unterstützung der strategischen Kooperation zwi- 
schen den Mitgliedstaaten auf europäischer Ebene eingerichtet (a). Ein Netz- 
werk von Computer-Notfallteams soll die schnelle und wirksame operative 
Kooperation der Mitgliedstaaten fördern (b). Der Informationsaustausch der 
Datenschutzbehörden und der Nachrichtendienste findet grundsätzlich außer- 
halb der NIS-Informationskooperation statt (c). 


a) Strategischer Informationsaustausch in der Kooperationsgruppe 


Für die strategische Zusammenarbeit sowie des Informationsaustausches zwi- 
schen den Mitgliedstaaten wird eine Kooperationsgruppe eingesetzt.’ Sie soll 
den Informationsaustausch unterstützen und erleichtern und Vertrauen zwi- 
schen den Mitgliedstaaten aufbauen (Art. 1 Abs. 2 lit. b). Die NIS-Kooperati- 
onsgruppe setzt sich aus Vertretern der Mitgliedstaaten, der Kommission und 
der ENISA zusammen.’ Die Kommission stellt das Sekretariat bereit. Weder 
die Kommission noch ein anderes vertretenes Organ übernimmt eine zentrale 
Funktion. Demnach handelt es sich bereits im Ausgangspunkt insgesamt um 
eine dezentrale Kooperation. 

Die Organisation ist grundsätzlich offen. Andere Interessengruppen können 
auf Einladung der Kooperationsgruppe an der gemeinsamen Arbeit teilnehmen 
(Art. 11 Abs. 2 UAbs. 2 NIS-RL). In Betracht kommt insbesondere die Teilnah- 
me an der sog. NIS-Plattform. Die Schaffung dieser öffentlich-privaten Platt- 
form wurde mit der europäischen Cybersicherheitsstrategie angekündigt.‘ Da- 
rin sollen die „einschlägigen europäischen Interessenträger des öffentlichen und 
privaten Sektors“ zusammengeführt werden, damit empfehlenswerte Cybersi- 
cherheitsverfahren in der gesamten Wertschöpfungskette ermittelt und günsti- 
gere Marktbedingungen geschaffen werden können. Die Plattform setzt sich aus 
drei Arbeitsgruppen zusammen, von denen die zweite sich mit dem Informati- 
onsaustausch, der Koordination bei Sicherheitsvorfällen und den Risikometri- 
ken für den Informationsaustausch beschäftigt.” 


67 Der ursprüngliche Entwurf der Kommission, COM(2013) 48 final sah in Art. 8 noch die 
Schaffung eines „Kooperationsnetzes“ vor. 

68 Art. 11 Abs. 2 NIS-RL. 

% Kommission, JOIN(2013) 1 final, S. 14f. 

1 ENISA, NIS-Platform, abrufbar unter: https://resilience.enisa.europa.eu/nis-platform. 
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b) Operativer Informationsaustausch im CSIRTs-Netzwerk 


Neben der Einrichtung der Kooperationsgruppe schafft die NIS-Richtlinie ein 
Netzwerk von Computer-Notfallteams (CSIRTs-Netzwerk, Art. 1 Abs. 2 lit. c 
NIS-RL). Das Netzwerk setzt sich aus Vertretern der mitgliedstaatlichen 
CSIRTs und des europäischen CERT-EU zusammen (Art. 12 Abs. 2 NIS-RL). 
Die Kommission ist an dem Netzwerk beteiligt, nimmt aber nur eine Beobach- 
terposition ein. Die ENISA stellt das Sekretariat und unterstützt aktiv die Ko- 
operation der CSIRTs. Die Aufgabe des Netzwerks ist es, eine rasche und wirk- 
same operative Zusammenarbeit zwischen den Mitgliedstaaten zu fördern. Zu 
den Kernaufgaben des Netzwerks gehört der Informationsaustausch zu Diens- 
ten, Tätigkeiten und Kooperationsfähigkeiten der nationalen CSIRTs (Art. 12 
Abs. 3 lit. a NIS-RL). Die CSIRTs-Netzwerk steht zur Kooperationsgruppe in 
keinem besonderen hierarchischen Verhältnis. Die Kooperationsgruppe stellt 
lediglich strategische Leitlinien hinsichtlich der Weiterentwicklung der Tätig- 
keiten des CSIRTs-Netzwerks bereit (Art. 11 Abs. 3 lit. aNIS-RL). 


c) Informationsaustausch außerhalb der NIS-Zusammenarbeit 


Die Zusammensetzung der Kooperationsgruppe und des CSIRTs-Netzwerk 
zeigt, dass die Datenschutzbehörden und die Nachrichtendienste an der NIS-Zu- 
sammenarbeit nicht direkt mitwirken. Die Datenschutzaufsichtsbehörden wir- 
ken allerdings am Informationsaustausch im Rahmen vorgesehener Konsultati- 
onen und bei der Bewältigung von Sicherheitsvorfällen mit.’! Die Informatio- 
nen und Erkenntnisse werden im Rahmen der NIS-Zusammenarbeit nur geteilt, 
sofern die Vertreter der Mitgliedstaaten diese in der Kooperationsgruppe ein- 
bringen oder sofern NIS-Behörden auf nationaler Ebene mit Nachrichtendiens- 
ten Informationen austauschen und diese dann wiederum im horizontalen Ver- 
hältnis mit anderen mitgliedstaatlichen NIS-Stellen austauschen.” Der nach- 
richtendienstliche Austausch personenbezogener Daten mit ausländischen 
Stellen wird jedoch zunehmend formalisiert.’ 


2. Verfahrensrechtliche Ausgestaltung 


Der Austausch von Informationen erfolgt im vertikalen Verhältnis über die Ko- 
operationsgruppe bzw. das CSIRTs-Netzwerk und im horizontalen Verhältnis 
über die nationalen NIS-Behörden bzw. die CSIRTs der Mitgliedstaaten. Zur 


7! Siehe § 4 B. II. 2. a) (cc) (2). Vgl. im Übrigen zur Zusammenarbeit und gegenseitigen 
Amtshilfe der Aufsichtsbehörden Art. 60 ff. DS-GVO. 

72 Zum Austausch im Nationalen Cyber-Abwehrzentrum siehe § 4 B. II. 2. c) (aa) (1). 

B Siehe § 4 C. I. 2. c). 
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Untersuchung der maßgeblichen Informationsaustauschprozesse bietet es sich 
an, die aus der Informatik und dem Netzwerkmanagement bekannte Lösungslo- 
gik von Prävention (a), Detektion (b) und Reaktion” (c) heranzuziehen. Die Fra- 
ge ist dann, inwiefern das Informationsverwaltungsrecht dazu beiträgt, Sicher- 
heitsproblemen im Vorhinein zu begegnen, diese zu erkennen und im Falle ei- 
nes Sicherheitsvorfalls mit Sachkenntnis auf sie zu reagieren. 


a) Prävention durch Informations- und Wissensaustausch 


Die europäischen Fähigkeiten zur Prävention von Sicherheitsvorfällen und Risi- 
ken bei Netz- und Informationssystemen werden nicht so sehr über den punktu- 
ellen Austausch einzelner Informationen, sondern durch Wissensaustausch ent- 
wickelt. Das Wissen ist regelmäßig das Ergebnis der gewonnenen Erfahrung, 
dass als gespeicherte aggregierte Information weitergegeben wird. Der Aus- 
tausch vollzieht sich im Wesentlichen durch Berichte (aa), durch den Austausch 
von explizierbarer Erfahrung und bewährter Praktiken (bb) sowie im Wege ge- 
genseitiger Konsultationen (cc). 


aa) Sach- und Kontrollberichte 


Es können Sach- und Kontrollberichte unterschieden werden. Die Sachberichte 
dienen im Schwerpunkt der formalisierten Darstellung sicherheitstechnischer 
Umstände (1), die Kontrollberichte geben Auskunft über den Vollzug des Rechts 
(2). Die Bundesnetzagentur kann zur Erfüllung von Berichtspflichten gegenüber 
der Kommission und anderen internationalen Gremien auf die Informations- 
befugnis des $ 4 TKG zurückgreifen (3). 


(1) Sachberichte über gemeldete Sicherheitsverletzungen 


Sachberichte sind über die im Wege der Meldepflicht generierten Informationen 
zu erstellen. Die zentralen Anlaufstellen der Mitgliedstaaten legen der Koope- 
rationsgruppe jährlich einen zusammenfassenden Bericht über die eingegange- 
nen Meldungen vor (Art. 10 Abs. 3 UAbs. 2 NIS-RL).” 

Die zentralen Anlaufstellen sind die Verbindungsstellen zur Gewährleistung 
der grenzüberschreitenden Zusammenarbeit der Mitgliedstaaten (Art. 8 Abs. 3 
NIS-RL). Dies kann die in einem Mitgliedstaat ohnehin zuständige NIS-Behör- 


74 Dazu Kurose/Ross, Computer Networking: A Top-Down Approach, 6. Aufl. 2013, 
S. 756; zum Incident-Response-Zyklus Skopik/Bleier/Fiedler, Cyber Attack Information Sys- 
tem: Gesamtansatz, in: Leopold/Bleier/Skopik (Hısg.), Cyber Attack Information System, 
2015, S. 53 (55). 

7 Zur Informationsgenerierung über Meldepflichten siehe § 3 D. I. 2. 
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de sein. Die zentrale Anlaufstelle berichtet an die Kooperationsgruppe. Deren 
Aufgabe ist die „Prüfung“ dieser Berichte. Unter Prüfung ist nicht die Kontrolle 
des Vollzugs zu verstehen, sondern vielmehr die Aufgabe der Kooperations- 
gruppe, die wesentlichen Erkenntnisse der Berichte zur Kenntnis zu nehmen 
und zu bewerten (Art. 11 Abs. 3 lit. j NIS-RL; engl. examine). 

Die Berichtspflicht über Sicherheitsverletzungen kann vor dem Hintergrund 
der Funktion von Berichtspflichten im Allgemeinen ausgelegt werden. Berichts- 
pflichten und Monitoringprozesse führen zu einer Rückkopplung zwischen Be- 
richtendem und Adressaten, die Erfolge und Lücken aufzeigt. Eine Bilanzie- 
rung in zeitlichen Abständen macht es möglich, rechtzeitig auf Veränderungen 
zu reagieren und gezielt Maßnahmen zu ergreifen und erforderliche Mittel effi- 
zienter einzusetzen.’ Berichtspflichten sind grundsätzlich weitreichender als 
punktuelle Auskunfts- und Unterrichtungspflichten. Sie sind mit diesen verbun- 
den, knüpfen aber an einen länger dauernden Zeitraum an und sind für die Voll- 
zugskontrolle von Bedeutung. Berichtspflichten stellen aufgrund der Art der 
Aufbereitung der zu übermittelenden Informationen eine qualifizierte Katego- 
rie von Informationsbeschaffungspflichten dar. Durch Berichte werden nicht 
bloße Informationen übermittelt. Diese werden vielmehr erhoben, gesammelt 
und dann systematisch und topisch zusammengestellt.’ 

Der Inhalt der Berichte der nationalen zentralen Anlaufstellen ist nicht ab- 
schließend vorgegeben. Eine eigene Richtlinie zur Vereinheitlichung und zweck- 
mäßigen Gestaltung der Berichte wie im europäischen Umweltrecht gibt es im 
europäischen NIS-Recht nicht.” Entsprechend ihrem Zweck sind die Berichte 
nicht umfassend, sondern zusammenfassend. Harmonisiert sind allerdings An- 
forderungen wie die Anzahl der Meldungen und Minimalangaben die wie die 
Art der gemeldeten Sicherheitsvorfälle sowie die ergriffenen Maßnahmen. Unter 
diesen Maßnahmen sind aber nicht etwaige Abwehr- und Abhilfemaßnahmen, 
sondern die jeweils erfolgte Unterrichtung eines anderen Mitgliedstaates im Fall 
eines grenzüberschreitenden Sicherheitsvorfalls zu verstehen (vgl. Art. 14 
Abs. 5, Art. 16 Abs. 6 NIS-RL). Die Schwere und Dauer eines Sicherheitsvorfalls 
fallen nicht unter die Minimalangaben, sind aber als aussagekräftige Parameter 
gewünschte Informationen.” Die Pflichtangabe von Informationen auf quanti- 


76 Vgl. Ladeur, Die Kommunikationsinfrastruktur der Verwaltung, in: Hoffmann-Riem/ 
Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Band II, 2. Aufl. 
2012, § 21 Rn. 21. 

77 von Bogdandy, Informationsbeziehungen im europäischen Verwaltungsverbund, in: 
Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, 
Band II, 2. Aufl. 2012, § 25 Rn. 13. 

78 Vgl. RL 91/692/EWG. 

1 Erwägungsgrund 33 NIS-RL. 
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tativer Basis ist geeignet, der tendenziell bei Berichten bestehenden Gefahr ver- 
zerrter Darstellungen aus dem Motiv der Selbstrechtfertigung der Behörden zu 
begegnen.°® Insofern eignet sich der Informationsaustausch durch die Berichts- 
pflicht insgesamt zur Verbesserung der Sicherheitsgewährleistung. 

Die Berichte über gemeldete Sicherheitsverletzungen sind als wesentliches 
Element des Lernprozesses in der europäischen Sicherheitsgewährleistung ein- 
zuordnen. Die Berichte ermöglichen die Beobachtung von Entwicklungen über 
einen längeren Zeithorizont. Für die Phasen des Politikzyklus (Vorbereitung, 
rechtliche Programmierung, Vollzug, Rückkopplung)?' schaffen die Berichte 
eine faktenbasierte Diskussionsgrundlage, die gerade auf dem Gebiet der Si- 
cherheit den wichtigen Abgleich der vermuteten mit der wirklichen Bedro- 
hungslage erlaubt. Zugleich dienen die aus den Berichten gewonnenen Erkennt- 
nisse zur Weiterentwicklung der technischen Schutzmaßnahmen auf europäi- 
scher Ebene.®? Des Weiteren bildet die Berichterstattung als „Steuerungselement 
jeder organisierten Rechtsform“ die informationelle Grundlage für weitere 
Steuerungselemente.°° Die Kooperationsgruppe hat alle zwei Jahre ein Arbeits- 
programm zur Umsetzung der Ziele der NIS-RL zu erstellen (Art. 11 Abs. 3 
UAbs. 2 NIS-RL). Die Zusammenfassung der Sicherheitsvorfälle kann hier der 
Ausgangspunkt der prospektiven Zielorientierung wie der Formulierung von 
Zwischenzielen sein. Die Kooperationsgruppe bildet im Übrigen selbst den Mo- 
tor der Entwicklung der Modalitäten für die Berichterstattung. Da die Koopera- 
tionsgruppe die Erörterung der Berichterstattung initiieren darf (Art. 11 Abs. 3 
lit.m NIS-RL), hat sie es in der Hand, einen förmlichen Feedback-Mechanis- 
mus zu schaffen, der auf die Mitgliedstaaten zurückwirkt. 


(2) Kontrollberichte über den Vollzug 


Der Aspekt der Steuerung durch Berichte ergibt sich deutlicher bei den Berichts- 
pflichten zum Zweck der Überprüfung der Anwendung des NIS-Verwaltungs- 
rechts. Der Kommission kommt eine übergeordnete Koordinierungsfunktion 
bei der Überprüfung der Anwendung der NIS-RL zu. Sie hat die Anwendung 
der Richtlinie regelmäßig zu überprüfen und den Organen der Unionsgesetz- 
gebung darüber zu berichten (Art. 23 NIS-RL). 


80 Sommer, Verwaltungskooperation am Beispiel administrativer Informationsverfahren 
im Europäischen Umweltrecht, in: Schmidt-Aßmann/Schöndorf-Haubold (Hrsg.), der Euro- 
päische Verwaltungsverbund, 2005, S. 57 (63). 

8! Eifert, Europäischer Verwaltungsverbund als Lernverbund, in: Spiecker gen. Döh- 
mann/Collin (Hrsg.), Generierung und Transfer staatlichen Wissens im System des Verwal- 
tungsrechts, 2008, S. 159 (165). 

82 Vgl. für die Berichtspflicht der Bundesnetzagentur BT-Drs. 17/5707, S. 83. 

83 Loeser, Das Berichtswesen der öffentlichen Verwaltung, 1991, S. 92. 
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Die Berichtspflicht dient damit zunächst der demokratischen Rückanbindung 
des Richtlinienvollzugs an die original legitimierte Legislative. Der im Europä- 
ischen Parlament repräsentierten Allgemeinheit und den im Rat repräsentierten 
Exekutiven der Mitgliedstaaten wird ihrerseits die Möglichkeit gegeben, eine 
Kontrollfunktion wahrzunehmen. Eine Pflicht zur Stellungnahme seitens des 
Parlaments oder des Rats korrespondiert mit der Berichtspflicht allerdings nicht. 

Aus den Formulierungen in Art.23 Abs.2 NIR-RL („im Hinblick auf die 
weitere Förderung [...] der Zusammenarbeit“, „Bei ihrer Überprüfung bewertet 
die Kommission [...]‘“) ergibt sich, dass der Kommissionsbericht nicht lediglich 
als Tatsachenfeststellung zu gestalten ist, sondern vielmehr das Ergebnis einer 
Wissensverarbeitung sein soll. Der periodische Review-Prozess erfordert von 
der Kommission ein gesteuertes Lernen, d.h. den Ausblick in die Zukunft durch 
hypothetische Modelle und Simulationen. Bei der Erstellung des Berichts hat sie 
daher die in der Kooperationsgruppe und im CSIRTs-Netzwerk „gemachten Er- 
fahrungen“ (Art. 23 Abs. 2 S. 2 NIS-RL) aufzunehmen. 


(3) Telekommunikationsrechtliche Informationsbefugnis zur Erfüllung 
von Berichtspflichten 


Zur Erfüllung internationaler Berichtspflichten stellt $4 TKG eine Befugnis 
bereit, die es der Bundesnetzagentur erlaubt, Informationen anzufordern, die sie 
zur Erfüllung von Berichtspflichten gegenüber der Kommission oder anderen 
internationalen Gremien benötigt. Die Informationsbefugnis ist in systemati- 
scher Hinsicht der Informationsgenerierung zuzuordnen, deren sachliche Reich- 
weite soll aber wegen der sachlichen Nähe zu den Berichtspflichten hier im Rah- 
men des Informationstransfers untersucht werden. 

Die Berichte über Sicherheitsverletzungen an die Kooperationsgruppe ent- 
halten Informationen über die gemeldeten Sicherheitsvorfälle. Die Berichte 
werden grundsätzlich durch die nationalen zentralen Anlaufstellen erstellt. Die 
dafür erforderlichen Meldedaten erhalten sie, sofern die Aufgabe der Anlauf- 
stelle nicht ohnehin durch die nationale NIS-Behörde wahrgenommen wird, von 
den NIS-Behörden oder den CSIRTSs (Art. 10 Abs. 3 UAbs. 1 NIS-RL). Die Be- 
richte gehen allerdings nicht direkt an die Kommission. Erst die Kooperations- 
gruppe legt der Kommission einen Bericht vor. Eine direkte Informationspflicht 
gegenüber der Kommission trifft hingegen die Bundesnetzagentur auf Grund- 
lage von Art. 13a Abs.3 S.3 Rahmen-RL. Der Kommission sind jährlich die 
eingegangenen Meldungen über Sicherheitsvorfälle zusammenfassend zu be- 
richten. Abgesehen davon, dass darin eine dysfunktionale Doppelung der Be- 
richtspflichten besteht,®* ist diese Plicht jedoch bereits mit $ 109 Abs. 5 S.5 


84 Es ergibt sich die Situation, dass die Bundesnetzagentur Meldedaten sowohl dem BSI 
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TKG umgesetzt. Ein praktischer Anwendungsbedarf für § 4 TKG besteht dem- 
nach nicht. 


bb) Austausch von Erfahrung und bewährten Praktiken 


Der Austausch gewonnener Erfahrung und bewährter Verfahren und Vorge- 
hensweisen über die Kooperationsgruppe substituiert fehlendes eigenes Wissen 
durch Kenntnisse anderer und ermöglicht eine effektivere wie effizientere Si- 
cherheitsgewährleistung (1). Die Speicherung des generierten Wissens fällt im 
Wesentlichen der Kooperationsgruppe zu (2). 


(]) Austausch spezifischer Formen von Wissen über die Sicherheit 


Wissen auf dem Gebiet der Netz- und Informationssicherheit entsteht nicht nur 
durch eigene Wahrnehmung oder Deduktion, sondern durch Konstruktion, d.h. 
durch Wissensaustauschprozesse. Komplexere kognitive Prozesse sind ohne die 
Zirkulation von Informationen gar nicht denkbar, weil die erforderlichen Infor- 
mationen vor allem rechtlich gerade nicht selbst ermittelt werden können. Sie 
sind nur durch die Übermittlung zu erreichen.®° Da auf europäischer Ebene kei- 
ne Einzelverfahren geführt werden, für die eine „Akte“ angelegt wird, die das 
entscheidungsrelevante Wissen sammelt, ist die Informationsübermittlung auf 
eine Prozeduralisierung angewiesen. Dies meint, dass ein Wissen für einen ge- 
streckten Zeitraum vorgehalten werden muss. In hochgradig arbeitsteiligen 
Organisationen wie der Administrative ist daher ein Erfahrungsaustausch erfor- 
derlich. Erfahrung als spezifisches Wissen ist allerdings nicht allgemein zu- 
gänglich, der Austausch muss vielmehr normativ angeregt und gestützt sein. 

Eine institutionelle Stabilisierung des Erfahrungsaustausches sieht Art. 11 
Abs. 3 lit. g NIS-RL vor. Zu den Aufgaben der Kooperationsgruppe gehört der 
„Erfahrungsaustausch zu Angelegenheiten der Sicherheit von Netz- und Infor- 
mationssystemen mit den einschlägigen Organen, Einrichtungen und sonstigen 
Stellen der Union“. Dieser Erfahrungsaustausch bezieht sich in der Praxis pri- 
mär auf den Austausch mit dem bei Europol angesiedelten Europäischen Zent- 
rum zur Bekämpfung der Cyberkriminalität.®” 


als auch der Kommission berichtet. Das BSI wiederum berichtet der Kooperationsgruppe, die 
ihrerseits der Kommission berichtet. 

85 Zur möglichen weiten Auslegung Berliner, Informationsbefugnisse der Bundesnetz- 
agentur im Telekommunikationsrecht, 2012, S. 137 ff. 

86 Krämer, Medium, Bote, Übertragung. Kleine Metaphysik der Medialität, 2008, S. 224; 
Augsberg, Informationsverwaltungsrecht, 2014, S. 79. 

87 Vgl. Art. 8 Abs. 3 lit. f des ursprünglichen Entwurfs der Kommission COM(2013) 48 
final. 
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Neben dem (mündlich tradierten) Austausch von Erfahrung ist der Austausch 
bewährter Praktiken eine weitere Variante des Transfers strukturierten Wis- 
sens.°® Bewährte Verfahren sind Ergebnisse von Lernprozessen, d.h. der Beob- 
achtung von Entscheidungen und Handlungen, die nachträglich (ex post) struk- 
turiert werden. Dieser Lernmechanismus ist als solcher weder originell noch 
innovativ. Der Einsatz von Benchmarking und Best-Practice-Empfehlungen ist 
in der Union und auch in internationalen Zusammenschlüssen zur Herstellung 
von Leistungsvergleichen üblich.‘ Ein struktureller Vorteil dieser Methode ist, 
dass sich die aus dem Vergleich ergebende Anreizwirkung nicht auf die Exe- 
kutive von Mitgliedstaaten beschränkt, sondern auch auf die nachgeordnete 
Fachadministrative ausstrahlt. 

Die NIS-RL macht den Austausch von bewährten Verfahren zur wesentli- 
chen Aufgabe der Kooperationsgruppe. Dabei ist der Austausch nicht als allge- 
meine Aufgabe programmiert. Er bezieht sich konkret auf die Informationsaus- 
tauschverfahren im Zusammenhang mit Meldungen von Sicherheitsvorfällen 
(Art. 11 Abs. 3 lit. b NIS-RL), Verfahren beim Kapazitätenaufbau der Mitglied- 
staaten (Art. 11 Abs. 3 lit.c NIS-RL), die Fähigkeiten und die Abwehrbereit- 
schaft der Mitgliedstaaten (Art. 11 Abs. 3 lit. d NIS-RL), die Sensibilisierung 
und Schulung (Art. 1 Abs. 3 lit.e NIS-RL), die Verfahren zu Forschung und 
Entwicklung bezüglich der Sicherheit (Art. 11 Abs. 3 lit. f NIS-RL) sowie die 
Verfahren zur Ermittlung der Betreiber wesentlicher Dienste durch die Mitglied- 
staaten (Art. 13 Abs. 3 lit. INIS-RL). 

Durch die Aufführung konkreter Themen wird der bei abstrakteren Aus- 
tauschverfahren grundsätzlich bestehenden Gefahr begegnet, dass zu unspezi- 
fische Erkenntnisse mitgeteilt werden. Die erfolgreiche Übernahme externer 
Wissensbestände setzt nämlich voraus, dass die eigenen Wissensdefizite er- 
kannt werden. Diese Beobachterkapazität setzt wiederum Kontextwissen sei- 
tens der Verwaltung voraus.” Unspezifisch bleibt jedoch die Bildung des Ver- 
gleichswertverfahrens. So sind das „Ob“ und das Worüber des Wissenstransfers 
vorgegeben, allerdings nicht das „Wie“. Im grenzüberschreitenden Vergleich ist 
eine Verständigung hinsichtlich der Objektivität, Validität und Reliabilität von 


8 Tadeur, Die Kommunikationsinfrastruktur der Verwaltung, in: Hoffmann-Riem/ 
Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Band II, 2. Aufl. 
2012, § 21 Rn. 52. 

89 John-Koch, in: Oebbecke (Hrsg.), Nicht-normative Steuerung in dezentralen Systemen, 
2005, S. 363 (364 ff.). 

% Vgl. Spiecker gen. Döhmann, Die informationelle Inanspruchnahme des Bürgers im 
Verwaltungsverfahren, in: dies./Collin (Hrsg.), Generierung und Transfer staatlichen Wissens 
im System des Verwaltungsrechts, 2008, S. 196 (203); Augsberg, Informationsverwaltungs- 
recht, 2014, S. 133. 


222 $4 Transfer von Informationen im Rahmen der europäischen Zusammenarbeit 


besonderer Bedeutung, da andernfalls die Qualität einer Vorgehensweise kaum 
zu bewerten ist. Es ist aber gerade Ziel der NIS-RL, ein „hohes gemeinsames“ 
Sicherheitsniveau zu erreichen, sodass hier die Zusammenarbeit mit der ENISA 
einzufordern ist, um Kennzahlen und Indikatoren zu entwickeln. 


(2) Kooperationsgruppe als Wissensspeicher 


Der administrative Erfahrungsaufbau steht im Allgemeinen wie im Besonderen 
im komplexen Bereich der Netz- und Informationssicherheit nicht nur vor der 
Herausforderung, Steuerungsanliegen und -ziele vollzugsfähig zu beschreiben. 
Neben Verfahren der Allokation von Wissen im Raum der europäischen Union 
bedarf es in zeitlicher Hinsicht der Bewahrung des generierten und ausge- 
tauschten Wissens. Erst die Speicherung erlaubt es, Wissen abrufbar zu halten. 
Ein verfügbarer Wissensvorrat macht es möglich, singuläre Problem- und Fra- 
gestellungen zu rekontextualisieren und wieder zu Wissen und Informationen 
zu transformieren.?! 

Die Speicherfunktion wird im Wesentlichen durch die Kooperationsgruppe 
erfüllt. Ausdrückliche Regeln und Routinen zum Wissensmanagement durch 
Speicherung sind ihr nicht aufgegeben. Allerdings obliegt ihr die „Sammlung 
von Informationen über bewährte Verfahren bei Risiken und Sicherheitsvor- 
fällen“ (Art. 11 Abs. 3 lit. i NIS-RL). 

Durch die Sammlung und Bewahrung bewährter Praktiken baut die Koope- 
rationsgruppe gleichsam ein europäisches Gedächtnis hinsichtlich erfolgreicher 
Prozesse zur Prävention, Erkennung, Reaktion und Bewältigung in Bezug auf 
Sicherheitsvorfälle und Risiken auf. Denn Lernen bedeutet, „ein Gedächtnis zu 
haben und in der Lage zu sein, aus gespeicherten Informationen Konsequenzen 
zu ziehen“.?? 

Die Bedeutung dieser Wissenssammlung durch die Kooperationsgruppe lässt 
sich durch einen Vergleich mit Eigenschaften von Informationssystemen be- 
messen, die das Europäische Verwaltungsrecht kennt. Informationssysteme 
stellen für sich eine spezifische Informationsressource in der europäischen Ver- 
waltung dar.” Die maßgeblichen Eigenschaften von europäischen Informati- 
onssystemen können aufgezeigt werden, wenn verfahrensintegrierte und nicht 


91 Voßkuhle, Sachverständige Beratung des Staates, in: Isensee/Kirchhof (Hrsg.), HbStR 
III, 3. Aufl. 2005, $ 43 Rn. 4; Augsberg, Informationsverwaltungsrecht, 2014, S. 159. 

2 Stolleis, Der lernfähige und der lernende Staat, in: Fried/ders. (Hrsg.), Wissenskultu- 
ren, 2009, S. 58 (58); vgl. Trute, Wissen — Einleitende Bemerkungen, in: Röhl (Hrsg.), Wissen 
— Zur kognitiven Dimension des Rechts, Die Verwaltung, Beiheft 9, 2010, S. 11 (21 f). 

93 Schneider, Vorüberlegungen zum Informationsmanagement in europäischen Verwal- 
tungsverfahren, in: Lipowicz/ders. (Hrsg.), Perspektiven des deutschen, polnischen und eu- 
ropäischen Informationsrechts, 2011, S. 159 (178); siehe § 4 B. I. 2. 


B. Struktur des Informationsaustausches 223 


verfahrensintegrierte Informationssysteme als zweitypisierbare Pole unterschie- 
den werden.’ 

Verfahrensintegrierte Informationssysteme übernehmen als Instrumente der 
gezielten interadministrativen Kooperation Aufgaben inkonkreten Verwaltungs- 
vorgängen im Vollzug des Unionsrechts gegenüber dem Bürger oder einem Un- 
ternehmen. Nicht verfahrensintegrierte Informationssysteme fördern die Ent- 
stehung einer Kommunikationskultur, indem sie über die aus dem nationalen 
Zusammenhang konventionell bekannten Formen der informationellen Inter- 
aktion zwischen verschiedenen Informationsträgern hinausgehen und Infor- 
mationssammlungen staatlicher und nichtstaatlicher Herkunft verbinden. Sie 
zeichnen sich regelmäßig durch Verwendungsoffenheit aus. Die Sammlung per- 
sonenbezogener und vertraulicher Daten ist nicht vorgesehen, vorrangig werden 
wissenschaftliche oder technische Daten gesammelt.” Auch wenn die nicht ver- 
fahrensintegrierten Informationssysteme der Informationsvorsorge dienen, 
werden die Informationen häufig nicht gegenüber dem Bürger oder Unterneh- 
men verwendet. 

Informationssysteme haben typischerweise Kompetenzen zur zentralisierten 
Informationsverwaltung und zum Betreiben der Netze und Datenbanken, so- 
dass sie über Informationen verfügen, diese speichern, berichtigen, löschen, 
auswerten und weitergeben oder Zugangsrechte vergeben können. Da jedes In- 
formationssystem in seiner Gesamtheit bezweckt, Informationen zusammenzu- 
tragen und diese zu speichern, spielt die jeweilige konkrete Bedeutung und Po- 
sition der Datenbanken eine wichtige Rolle. Diesbezüglich können dezentrale 
und zentrale Architekturen, aber auch Mischformen ausgemacht werden. De- 
zentrale Architekturen beruhen auf nationalen Datenbanken, die zu einem 
Netzwerk integriert werden. Bei zentralen Architekturen wird der Datenbestand 
an einem Ort gepflegt, wobei die Eingaben dezentral erfolgen. Das Schengener 
Informationssystem (SIS) ist insofern eine Mischform, als bei den teilnehmen- 
den Partnern identische Datenbanken bestehen (N-SIS), deren Synchronisation 
und Datensicherung durch eine zentrale Unterstützungseinheit vorgenommen 
wird (C-SIS), Art. 92 Schengener-Durchführungsübereinkommen (SDÜ). Als 
Spezifikum von Informationssystemen kann ein Direktzugriff auf fremde oder 
gemeinsame Datenbestände angesehen werden.” 


% Dazu Heußner, Informationssysteme im Europäischen Verwaltungsverbund, 2007, 
S. 143 ff., 154 ff., 161 f. 

95 Heußner, Informationssysteme im Europäischen Verwaltungsverbund, 2007, S. 159. 

% Sommer, Informationskooperation am Beispiel des europäischen Umweltrechts, in: 
Schmidt-Aßmann/Schöndorf-Haubold (Hrsg.), Der Europäische Verwaltungsverbund, 2005, 
S. 57 (T1£.); Schneider, Vorüberlegungen zum Informationsmanagement in europäischen 
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Die aufzubauende Sammlung der Kooperationsgruppe dient nur indirekt dem 
Vollzug von Unionsrecht. Die Teilnehmer der Kooperationsgruppe haben 
grundsätzlich keine operativen Befugnisse, die ausgetauschten Informationen 
werden nicht erst für die konkreten Zwecke, denen sie dienen sollen, erhoben. 
Die Informationssammlung ist gleichwohl zentral auf europäischer Ebene loka- 
lisiert. Primäres Anliegen ist die Zusammenführung der auf mitgliedstaatlicher 
Ebene vorhandenen Informationen und des gesammelten Erfahrungswissens. 
Die Sammlung bei der Kooperationsgruppe bildet mindestens die Summe des 
aus den Mitgliedstaaten über die Berichte zusammengetragenen Wissens. Die 
mnemotechnische Leistung der Kooperationsgruppe betrifft mit den „bewähr- 
ten Verfahren bei Risiken und Sicherheitsvorfällen“ Formen allgemeinen, kon- 
densierten Wissens und eben nicht den Aufbau eines statischen Vorrats an In- 
formationen mit Relevanz für die Sicherheitsgewährleistung. Das durch diese 
Aggregation entstehende Wissen kann der Nutzung im Unionsraum zugeführt 
werden. Ressourcen können so besser verwendet, Synergieeffekte ausgenutzt 
und Doppelarbeit vermieden werden. Der Wissensspeicher der Kooperations- 
gruppe erfüllt damit den typischen Zweck nicht verfahrensintegrierter Systeme. 
Die gespeicherten Praktiken erlauben den Austausch von Informationen und 
Wissen zu Zwecken der Vorsteuerung, Begleitung und Nachsteuerung von Ent- 
scheidungen. Gerade der stabilisierte Austausch über Best Practices ermöglicht 
eine Angleichung der mitgliedstaatlichen Gewährleitungspraktiken in tatsächli- 
cher Hinsicht. 


cc) Konsultationspflichten 


Die interadministrative Informationskooperation muss sich nicht auf die bloße 
Weitergabe von Informationen beschränken. Auf ein zusätzliches Zusammen- 
wirken von Verwaltungen zielen als weitere Kategorie des formalisierten Infor- 
mationsaustausches die Konsultationsverfahren. Sie ermöglichen die Informati- 
onsbewertung in einem dialogischen Modus und können damit eine höhere 
Form der Informationsverarbeitung erreichen.?’ Dabei handelt es sich um Infor- 
mationspflichten, die den beteiligten Stellen typischerweise einen weiten Spiel- 
raum bezüglich Zeitpunkt, Form und Umfang des Austausches einräumen.” 
Die gemeinsamen Interessen der Stellen können so grundsätzlich bestmöglich 


Verwaltungsverfahren, in: Lipowicz/ders. (Hrsg.), Perspektiven des deutschen, polnischen 
und europäischen Informationsrechts, 2011, S. 159 (165). 

97 Schneider, Vorüberlegungen zum Informationsmanagement in europäischen Verwal- 
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8 Heußner, Informationssysteme im Europäischen Verwaltungsverbund, 2007, S. 17. 
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gewahrt werden.” Als Prozess fortgesetzter Beobachtung und Abstimmung 
sind Konsultationen ein weiterer Mechanismus des Lernens.! Die NIS-Behör- 
den haben die nationalen Strafverfolgungsbehörden (1), die Datenschutzaufsicht 
(2) und zum Teil die für Katastrophenschutz zuständigen Behörden zu konsul- 
tieren (3). 


(D Konsultation mit nationalen Strafverfolgungsbehörden 


Der Transfer von Informationen an Strafverfolgungsbehörden ist keine vorran- 
gige Angelegenheit der NIS-Kooperation. Der Informationsaustausch über 
strafrechtlich relevante Angriffe auf Informationssysteme mit europäischer 
Reichweite ist indes nicht grundlegend gefährdet. Zur Kompensation fehlender 
transnationaler und europäischer Ermittlungsbefugnisse schafft Art. 13 RL 
2013/40/EU!" außerhalb der NIS-Informationskooperation eine eigenständige 
Struktur für den Informationsaustausch über Straftaten. Die Mitgliedstaaten 
haben danach im Wesentlichen eine operative nationale Kontaktstelle einzu- 
richten, die rund um die Uhr verfügbar ist und auf Ersuchen höchstens acht 
Stunden nach Eingang eine Antwort gibt. Darüber hinaus haben sie Meldekanä- 
le einzurichten, damit die Straftaten den jeweils zuständigen nationalen Behör- 
den gemeldet werden können. In Deutschland besteht diese Stelle beim Bundes- 
kriminalamt.!® Mittels dieser Maßnahmen finden insbesondere die Vorschrif- 
ten über den internationalen Informationsaustausch Anwendung (88 14 ff. 
BKAG). Die Richtlinie zielt nicht nur auf den Austausch forensischer Daten 
über die Vorgehensweise von Tätern und den Austausch mit Europol und dem 
Europäischen Zentrum zur Bekämpfung der Cyberkriminalität (European Cy- 
bercrime Centre — EC3). 

Der Informationsaustausch soll vielmehr auch ein allgemeines Verständnis 
der Bedrohungen ermöglichen und so auf politischer Ebene zu entsprechenden 
Beschlussfassungen beitragen. Für die Strafverfolgung von Cyberkriminalität 
nimmt das EC3 die Rolle des zentralen Wissens- und Informationsakteurs auf 
europäischer Ebene ein. Das Zentrum wurde 2013 als Teil von Europol einge- 
richtet und dient der Koordination der strafrechtlichen Ermittlungen in den Mit- 


% Holznagel, Informationsbeziehungen in und zwischen Behörden, in: Hoffmann-Riem/ 
Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Band II, 2. Aufl. 
2012, § 24 Rn. 37. 

100 Herzmann, Konsultationen — Eine Untersuchung von Prozessen, kooperativer Maß- 
stabskonkretisierung in der Energieregulierung, S. 162. 

101 Richtlinie 2013/40/EU des Europäischen Parlaments und des Rates vom 12. August 
2013 über Angriffe auf Informationssysteme und zur Ersetzung des Rahmenbeschlusses 
2005/222/J1 des Rates. 
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gliedstaaten.'® Die Kommission weist dem EC3 neben der operativen eine ana- 
lytische Funktion zu."®* Es sei die zentrale Anlaufstelle für Informationen über 
Cyberstraftaten, der eine „Informationsverknüpfungsfunktion“ zukomme. Der 
Kenntnisstand soll zum einen verbessert werden, um hochwertige Strategiebe- 
richte zu erstellen, und zum anderen, um „cyberkriminalistisches Fachwissen“ 
zur Unterstützung beim Kapazitätenaufbau der Mitgliedstaaten zu erlangen.'” 
Gerade weil der Informationsaustausch im Bereich der Strafverfolgung auch 
darauf zielt, ein „umfassenderes Bild des Problems der Cyberkriminalität und 
der Netz- und Informationssicherheit auf Unionsebene“ zu gewinnen, sollen re- 
levante Daten auch der ENISA „im Einklang mit ihrer Aufgabe und ihrem In- 
formationsbedarf“ zur Verfügung gestellt werden!” Die Voraussetzungen und 
das Verfahren für den Informationsfluss an die ENISA legt die RL 2013/40/EU 
dagegen nicht fest. 

Neben der eigenständigen Struktur des Informationsaustausches zur Bekämp- 
fung der Computerkriminalität auf Grundlage der RL 2013/40/EU bestehen Ver- 
bindungsstrukturen auf Basis des NIS-Kooperationsrechts. Den nationalen NIS- 
Behörden ist gemäß Art. 8 Abs. 6 NIS-RL aufgegeben, die zuständigen Straf- 
verfolgungsbehörden „gegebenenfalls“ nach Maßgabe des nationalen Rechts zu 
„konsultieren“. Dem Wortlaut nach zielt diese sekundärrechtliche Vorgabe dar- 
auf, dass sich die Behörden gegenseitig um Rat fragen. Die Intention der Wei- 
tergabe (IT-forensischer) Daten bzw. ermittlungsrelevanter Informationen 
kommt nicht zum Ausdruck. In der Regel dürften die Strafverfolgungsbehörden 
auf die technische Expertise der NIS-Behörden angewiesen sein, sodass der 
Konsultationsprozess grundsätzlich nicht von den NIS-Behörden ausgeht. Uni- 
onsrechtlich besteht letztlich keine Pflicht zur Meldung strafrechtlich relevanter 
Angriffe auf die Netz- und Informationssicherheit. Dies ergibt sich auch im Um- 
kehrschluss aus Erwägungsgrund 62 der NIS-RL, demzufolge die Mitgliedstaa- 
ten Betreiber wesentlicher Dienste und Anbieter digitaler Dienste „dazu an- 
halten“ sollten, Sicherheitsvorfälle mit einem schwerwiegenden kriminellen 
Hintergrund den entsprechenden Strafverfolgungsbehörden zu melden. Die 
NIS-Behörde hat nach Art. 8 Abs. 6 NIS-RL demnach nicht die Pflicht, Straf- 
verfolgungsbehörden über Sicherheitsvorfälle von sich aus zu unterrichten. 

Die entsprechende Regelung für das BSI entspricht dem Ansatz einer nur 
schwachen Beziehung zu Strafverfolgungsbehörden. Das BSI unterstützt Straf- 


103 Kommission, Mitteilung der Kommission an den Rat und das Europäische Parlament, 
COM(2012) 140 final, S. 6; Oerting, Kriminalistik 2012, 705 (705 £.). 
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verfolgungsbehörden nur auf deren Ersuchen hin (§ 3 Abs. 1 S. 4 BSIG: „Unter- 
stützungsersuchen“). Im Übrigen liegt die Datenübermittlung im Ermessen des 
BSI und dies auch nur hinsichtlich der Angriffe auf die Kommunikationstech- 
nik des Bundes (§ 5 Abs. 6 und 7 BSIG). Die Gewährleistung der Netz- und In- 
formationssicherheit über die Strafverfolgung hängt somit maßgeblich davon 
ab, ob die Betreiber wesentlicher Dienste und Anbieter digitaler Dienste Sicher- 
heitsvorfälle mit einem mutmaßlich kriminellen Hintergrund den entsprechen- 
den Strafverfolgungsbehörden melden. 

Sind nationale NIS-Behörden selbst auf Unterstützung, etwa bei der Koordinie- 
rung mit den Strafverfolgungsbehörden anderer Mitgliedstaaten, angewiesen, 
können sie sich an das Europäische Zentrum gegen Cyberkriminalität wenden.!?” 


(2) Konsultation mit Datenschutzbehörden 


Neben der Konsultation mit Strafverfolgungsbehörden ist die Konsultation mit 
Datenschutzbehörden vorgesehen. Die nationalen NIS-Behörden und zentralen 
Anlaufstellen „konsultieren gegebenenfalls“ die nationalen Datenschutzbehör- 
den nach Maßgabe des nationalen Rechts und arbeiten mit ihnen zusammen 
(Art. 8 Abs. 6 NIS-RL). 

Für die NIS-Behörden kann die Fachkunde der Datenschutzaufsicht insbeson- 
dere in Bezug auf zwei Fragenkomplexe relevant werden. Zum einen kann die 
NIS-Behörde datenschutzrechtliche Einschätzungen bei der Konkretisierung 
der materiell-rechtlichen Sicherheitspflichten, die mit der Verarbeitung perso- 
nenbezogener Daten einhergehen, für die Betreiber und Anbieter von Internetin- 
frastrukturen und -diensten einsetzen. Zum anderen kann sie die eigene Infor- 
mationsgenerierung auf datenschutzrechtliche Risiken durch Konsultation mit 
den Aufsichtsbehörden überprüfen. Vor allem wenn es um die Spezifizierung der 
geforderten technischen-organisatorischen Maßnahmen nach dem „Stand der 
Technik“ (vgl. Art. 14 Abs. 1, Art. 16 Abs. 1 NIS-RL) geht, kommt es auf Kon- 
sultationen der Behörden an. Die im Sicherheitsrecht geläufige Regelungstech- 
nik, auf den Stand der Technik oder die Wissenschaft Bezug zu nehmen, trägt 
besonders instabilen Wissensverhältnissen Rechnung. Diesen kann nur durch 
eine ständige und situationsangepasste Weiterentwicklung der vorhandenen und 
hinzukommenden Informationen und durch Austausch begegnet werden. 

Aber auch für die Datenschutzaufsichtsbehörden dürfte ein Anreiz zur Betei- 
ligung an der Konsultation bestehen. 

Der Primäranreiz der Datenschutzaufsichtsbehörden liegt darin, bestehende 
Wissensdefizite und Ungewissheiten in spezifisch sicherheitstechnischen Frage- 
stellungen zu bewältigen. Zwar haben in personeller Hinsicht die Mitglieder der 
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Datenschutzaufsichtsbehörden über die für die Erfüllung ihrer Aufgaben und 
Ausübung ihrer Befugnisse erforderliche Qualifikation, Erfahrung und Sach- 
kunde zu verfügen (Art. 53 DS-GVO). Dennoch kann bei hoher Arbeitsbelas- 
tung oder spezifischen Einzelfragen eine willkommene Entlastung dadurch ent- 
stehen, die NIS-Behörde als Fachbehörde um Rat zu fragen. Gerade weil die 
Aufsichtsbehörde in ihren beratenden Stellungnahmen von sich aus oder auf 
Anfrage „zu allen Fragen“ im Zusammenhang mit dem Datenschutz Stellung 
nimmt (Art. 58 Abs. 3 lit.b DS-GVO), können besondere Sachfragen eine be- 
sondere Sachkompetenz und damit eine Konsultation erfordern. 

Die Datenschutzaufsicht kann ihrerseits mit für die Verarbeitung personen- 
bezogener Daten Verantwortlichen in einem Konsultationsprozess stehen, ins- 
besondere bei neuen Formen der Datenverarbeitung durch Verwendung neuer 
Technologien. Hat eine Form der Verarbeitung ein hohes Risiko für Rechte und 
Freiheiten natürlicher Personen zur Folge, hat der Verantwortliche gemäß 
Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung durchzuführen. Trifft 
der Verantwortliche daraufhin keine Maßnahmen zur Eindämmung des Risi- 
kos, hat er vor der Verarbeitung die Aufsichtsbehörde zu konsultieren. Für den 
Fall, dass die Aufsichtsbehörde der Auffassung ist, die geplante Verarbeitung 
stehe nicht im Einklang mit dem Datenschutzrecht, hat sie eine schriftliche 
Empfehlung auszusprechen (Art. 36 Abs. 2 S. 1 DS-GVO) und den Verantwort- 
lichen zu beraten (Art. 58 Abs. 3 lit. a DS-GVO). Eine „Rückkonsultation“ mit 
den NIS-Behörden kann hier vor allem bei raschen technologischen Entwick- 
lungen angezeigt sein. 

Eine Konsultationspflicht, die so allgemein wie Art. 8 Abs. 6 NIS-RL gehal- 
ten ist („gegebenenfalls“), besteht dagegen weder für die Bundesnetzagentur 
noch für das BSI. Das Einholen besonderer Fachkunde ist lediglich punktuell 
vorgesehen. 

Die Bundesnetzagentur hat die Expertise des Bundesbeauftragten für Daten- 
schutz und Informationsfreiheit und das BSI bei der Erstellung des Katalogs von 
Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Da- 
tenverarbeitungssystemen sowie für die Bearbeitung personenbezogener Daten 
mit einzubeziehen ($ 109 Abs. 6 TKG). Der Katalog ist „im Einvernehmen“ mit 
den genannten Fach- und Aufsichtsbehörden herzustellen. Mit der novellierten 
Fassung durch das IT-Sicherheitsgesetz ist der Modus des Wissenstransfers so- 
gar normativ gestärkt worden. Nach $ 109 Abs. 6 TKG a.F. war lediglich das 
„Benehmen“ herzustellen. Einvernehmen ist grundsätzlich dann hergestellt, 
wenn ein vollständiger Konsens zwischen den Behörden besteht.'!® Das Zustan- 


108 Vgl. Fetzer/Groß, in: Arndt/Fetzer/Scherer/Graulich (Hrsg.), TKG, 2. Aufl. 2015, § 123 
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dekommen und der Inhalt sind demnach vom Einverständnis der Behörden ab- 
hängig. Die Behörden begegnen sich demnach auf gleichgelagerter Stufe. Mit 
der Einbeziehung dieser Behörden werden die fachliche Expertise und Kompe- 
tenz des BSI und des Bundesbeauftragen in Fragen der Informationssicherheit 
stärker genutzt.!” Mit der Beteiligung des BSI wird zudem der zunehmenden 
Nutzung von Informationstechnik in der Telekommunikationstechnik Rech- 
nung getragen.! 

Das BSI kann die „fachliche Expertise“ anderer Behörden im Rahmen der 
Feststellung, ob die von Betreibern kritischer Infrastrukturen und ihrer Bran- 
chenverbände vorgeschlagenen Sicherheitsstandards geeignet sind, die materi- 
ell-rechtlichen Sicherheitsanforderungen zu gewährleisten, in Anspruch neh- 
men.!!! Die Feststellung erfolgt „im Benehmen“ mit dem Bundesamt für Bevöl- 
kerungsschutz und Katastrophenhilfe sowie „im Einvernehmen“ mit der 
zuständigen Aufsichtsbehörde des Bundes oder „im Benehmen“ mit der sonst 
zuständigen Aufsichtsbehörde (§ 8a Abs. 2 S.3 BSIG). Die Variation des Kon- 
sultationsmodus ist aber nicht so sehr auf eine etwaigig geringere Fachkunde 
bei den sonstigen Aufsichtsbehörden zurückzuführen als auf das grundgesetzli- 
che Verbot der Mischverwaltung. Einrichtungen der Landesverwaltung dürften 
nach diesem aus Art. 83 ff. und 87 ff. GG abgeleiteten kompetenz- und organi- 
sationsrechtlichen Grundsatz nur in eng begrenztem Umfang zu Zwecken der 
Bundesverwaltung herangezogen werden. Denn grundsätzlich gilt, dass Ver- 
waltungsaufgaben mit eigenen personellen und sachlichen Mitteln wahrzuneh- 
men sind.!!? Die Datenschutzaufsichtsbehörden der Länder haben folglich nur 
beschränkt Mitentscheidungsbefugnisse. Da die unionsrechtliche Vorgabe in 
Art. 8 Abs. 6 NIS-RL unter dem Vorbehalt des nationalen Rechts steht, kommt 
auch keine unionsrechtliche Derogation dieses grundgesetzlichen Grundsatzes 
in Betracht. Das Benehmenserfordernis sichert aber prinzipiell die Beteiligung 
der Aufsichtsbehörden ab. 


(3) Konsultation als Teil des Notfallmanagements 


Ein besonderer Bereich der Behandlung von Sicherheitsvorfällen ist das Not- 
fallmanagement. Ein Notfall in der Netz- und Informationssicherheit ist ein 
Schadensereignis, bei dem wesentliche Prozesse oder Ressourcen einer Institu- 


109 BT-Drs. 18/4096, S. 63; vgl. aber Heinickel/Feiler, CR 2014, 708 (714), die darauf hin- 
weisen, dass die bewährte Zusammenarbeit der Behörden gestört werden könnte, die Bundes- 
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rigen darin eine Gefahr der Überregulierung erkennen. 
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tion nicht wie vorgesehen funktionieren. Die Verfügbarkeit entsprechender Pro- 
zesse oder Ressourcen kann bei Notfällen nicht innerhalb der geforderten Zeit 
oder insgesamt nicht wiederhergestellt werden. Wird die Kontinuität des Ge- 
schäftsbetriebs beeinträchtigt, können Notfälle eskalieren und sich zu einer 
Krise ausweiten, welche die Existenz eines Betriebs oder höchste Rechtsgüter 
von Personen gefährdet. Um die Robustheit und Ausfallsicherheit zu erhöhen 
und ein zielgerichtetes Reagieren zu ermöglichen, sind geeignete Präventiv- 
maßnahmen erforderlich.!' 

Dem Kontinuitätsmanagement bei Betreibern kritischer Infrastrukturen und 
digitaler Dienste wird durch die NIS-RL hohe Priorität eingeräumt. Die Mit- 
gliedstaaten haben sicherzustellen, dass die Betreiber wesentlicher Dienste ge- 
eignete Maßnahmen treffen, damit die Verfügbarkeit der Dienste gewährleistet 
wird (Art. 14 Abs. 2 NIS-RL). Hinsichtlich der Anbieter digitaler Dienste ist si- 
cherzustellen, dass dem Business Continuity Management Rechnung getragen 
wird (Art. 16 Abs. 1 lit. cNIS-RL, deutsche Sprachfassung). Die Durchführungs- 
akte der Kommission haben dieses betriebliche Notfallmanagement durch Stra- 
tegien für die Verfügbarkeit der Dienste und Notfallpläne zu konkretisieren.'!* 

Eine präventive Konsultation zum Zwecke des Notfallmanagements sieht die 
NIS-RL trotz deren durch sie selbst beigemessenen Bedeutung nicht vor. Gleich- 
wohl besteht für die NIS-Verwaltung wie auch im europäischen Katastrophen- 
schutzrecht Konsultationsbedarf. Art. 222 Abs. 4 AEUV sieht regelmäßige Ein- 
schätzungen von Bedrohungen, denen die Union ausgesetzt ist, durch den Euro- 
päischen Rat vor. Aus der systematischen Stellung in Art. 222 AEUV wird 
teilweise gefolgert, dass sich die Lagebeurteilung nur auf terroristische Bedro- 
hungen und ggf. Naturkatastrophen beziehe.!'” Dies ist aber mit Blick auf 
Art. 222 Abs. 1 S. 1 AEUV nicht zwingend, da dieser auch sonstige anthropog- 
ene Katastrophen umfasst. Die Einschätzung kann dementsprechend der allge- 
meinen Analyse von Katastrophen dienen.!! Da Gefahren für die Netz- und 
Informationssicherheit durch terroristisch motivierte Bedrohungen gegeben 
sein können, kann ein Austauschbedarf bestehen. Der Informationsaustausch 
mit Organen und Einrichtungen außerhalb der NIS-Verwaltung ist zwar Aufga- 
be der Kooperationsgruppe. Zu Angelegenheiten der Netz- und Informations- 
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sicherheit tauscht die Gruppe aber nur „Erfahrungen“ aus, falls dazu ein Anlass 
besteht („gegebenenfalls“). Im Ergebnis mag der Wissensaustausch gleichwer- 
tig sein. Die Differenzierung zwischen Konsultation und Erfahrungsaustausch 
entspricht hingegen den Facetten des Austauschprozesses. Erfahrungen werden 
vor allem ausgetauscht, indem auf vergangene Ereignisse Bezug genommen 
wird, die Teil eines Lernprozesses waren. Die Konsultation ist gerade ein Instru- 
ment der Mitwirkung, das sogar vorrangig zur prospektiven Krisenprävention 
eingesetzt werden muss. 

Ein nicht unionsrechtlich vorgegebenes, aber vorbildliches Spezifikum in 
Deutschland ist die Beteiligung des Bundesamts für Bevölkerungsschutz und 
Katastrophenhilfe (BBK) bei der Analyse von Informationen. Dem BBK kom- 
men gemäß $ 8a Abs. 2 BSIG Mitwirkungsaufgaben bei der Analyse der Infor- 
mationen über Sicherheitslücken, Schadprogramme und Angriffe zu.!" Die Be- 
schränkung auf solche Risiken, die die Verfügbarkeit kritischer Infrastrukturen 
beeinträchtigen können, entspricht dem Gedanken des Notfallmanagements. 
Die Beteiligung des BBK schafft eine Schnittstelle mit dem BSI, welche die 
Synchronisierung der zeitkritischen Eskalationsverfahren erlaubt. Zumindest 
die behördliche Koordination wird von vorneherein effektiviert. Die Beteili- 
gung des BBK geht im Übrigen nicht mit der Übertragung von Befugnissen 
einher. Das Dezentralisationsprinzip im Katastrophenorganisationsrecht wird 
durch die informativ-kooperative Zusammenarbeit mit dem BBK nicht untermi- 
niert.!!8 Die grundgesetzlichen Vorgaben des Art. 35 Abs. 2 S.2 GG stehen mit 
einem Austausch von Wissen und Einschätzungen gerade nicht im Wider- 
spruch. Eine Änderung der Zuständigkeit oder die Herstellung eines Subordina- 
tionsverhältnisses zwischen den Behörden geht mit der gemeinsamen Analyse 
nicht einher. 


b) Detektion von Gefahren durch Frühwarnmechanismus 


Eine wichtige Bedeutung für die Gewährleistung der Netz- und Informationssi- 
cherheit auf europäischer Ebene hat das Konzept der Frühwarnung. Mechanis- 
men der Frühwarnung dienen der frühzeitigen Erkennung von Gefahren und 
der schnellen Information Gefährdeter (aa). In der europäischen NIS-Koopera- 
tion bestehen Ansätze eines Frühwarnsystems (bb). 


117 Außerdem ist das BBK im Feststellungsverfahren der branchenspezifischen Sicher- 
heitsanforderungen zu konsultieren ($ 8a Abs. 2 S. 3 Nr. 1 BSIG). 
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aa) Rascher Austausch über Gefahren durch Frühwarnsysteme 


Frühwarnsysteme bezeichnen eine im Europäischen Verwaltungsverbund spe- 
zielle Art von Informationssystemen, die für ihren Benutzer „mögliche Gefähr- 
dungen mit zeitlichen Vorlauf signalisieren und diesen damit in die Lage verset- 
zen sollen, noch rechtzeitig geeignete Gegenmaßnahmen zur Abwehr oder Min- 
derung der signalisierten Gefährdungen ergreifen zu können“.!!? Frühwarn- und 
Reaktionssysteme finden sich in europäischen Informationssystemen insbeson- 
dere in Sachgebieten, die durch sich schnell verbreitende Gefahren geprägt sind. 
Sie können beinhalten, dass Informationen in Echtzeit ausgetauscht werden.!?® 
Vor allem im Verbraucher- und Gesundheitsschutz sind Informationsaustausch- 
prozesse als Schnellwarninformationssysteme gestaltet. Die unverzügliche und 
umfassende Information aller Mitgliedstaaten in der Union erfordert grundsätz- 
lich feste Strukturen der Informationsübermittlung, weshalb Inhalt und Form 
von Warnmeldungen in Frühwarnsystemen durch das Unionsrecht vorgeschrie- 
ben werden.!?”' So zeigt das Netz für die epidemiologische Überwachung und 
Kontrolle übertragbarer Krankheiten exemplarisch, dass mit einem Frühwarn- 
und Reaktionsmechanismus!” ein Auftrag zur Informationssammlung einher- 
geht bzw. dass diese von den Teilnehmern gemeinsam betrieben wird.'? 


bb) Frühwarnungen durch CSIRTs 


Im Bereich der Netz- und Informationssicherheit dienen Frühwarnungen der 
Optimierung präventiver Maßnahmen durch Früherkennung sowie der raschen 
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Reaktion im Falle von Cyberattacken.'”* Das Bedürfnis nach einem Frühwarn- 
mechanismus auf europäischer Ebene hat die Kommission in der Cybersicher- 
heitsstrategie der Europäischen Union artikuliert.'”® In einem Vorgängerent- 
wurf zur NIS-RL war der Strategie entsprechend ein europäisches System zur 
Frühwarnung und koordinierten Reaktion vorgesehen.” Der Vorschlag der 
Kommission hat keinen Eingang in die nunmehr geltende NIS-RL gefunden. 
Ansätze eines Frühwarnmechanismus lassen sich gleichwohl ausmachen. 

Das Basiselement eines Frühwarnsystems ist die Messung und Erfassung von 
Gefahrenindikatoren.'?’” Zur Frage, welcher Akteur als Sensor in einem Früher- 
kennungssystem fungiert, äußert sich die NIS-RL nicht. Insofern bleibt die 
Ausgangszuständigkeit für die operative Informationskooperation bei den 
CSIRTs. Die Aufgabe, Frühwarnungen und Alarmmeldungen auszugeben, ist 
den nationalen CSIRTs aufgetragen (Anhang I Nr. 2 lit. a. ii) NIS-RL). Dabei 
haben die CSIRTs auch die „einschlägige[n] Interessenträger“ zu adressieren. 

Ein weiterer wesentlicher Bestandteil von Frühwarnsystemen ist die (zentra- 
le) Sammlung von Indikatoren. In der Zentrale können Messwerte überwacht 
und ausgewertet werden. Eine solche Stelle ist auf europäischer Ebene nicht 
eingerichtet. Der freiwilligen Weitergabe von Gefahrenindikationen steht vor- 
behaltlich der Grenzen des europäischen Informationstransfers im CSIRTs-Netz- 
werk nichts entgegen.!”® 

Damit ist für grenzüberschreitende Frühwarnungen eine Netzwerkstruktur 
induziert, die weitgehend auf unmittelbare Kommunikation der Beteiligten in 
einer heterarchischen Struktur angelegt ist.'”” Das Netzwerk kann allgemein als 
„neuartige Institution der Wissensverteilung“ begriffen werden, die spezifische 
Vorteile in der Beobachtungskapazität hat und durch welche die Weiterentwick- 
lung expliziten Wissens innovativ befördert wird.” Eine rhizomorphe Organi- 


124 Vgl. Leopold/Bleier/Skopik, Vorwort der Herausgeber, in: dies. (Hrsg.), Cyber Attack 
Information System, 2015, S. VII; Kurose/Ross, Computer Networking: A Top-Down Appro- 
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sation, d.h. ein Netzwerk, „das azentrisch, nicht hierarchisch“ und „ohne Gene- 
ral“?! aufgebaut ist, welches den Gefahren einer Informationsüberforderung 
möglicherweise besser gewachsen sein kann,'” wird für das europäische Um- 
weltinformations- und Beobachtungsnetz EIONET beobachtet, in dem zahlrei- 
che Behörden und private Einrichtungen zu einem Rhizom verknüpft sind.” 
Zu bedenken ist, dass in Ermangelung expliziter sekundärrechtlicher Anleitun- 
gen zur Ausgabe von Frühwarnungen und zum Zweck koordinierter Reaktion 
kein Vakuum besteht, sondern die dynamische Teilnahme im Netzwerk eine 
normative Verdichtung durch die primärrechtlichen Grundsätze, wie den zur 
loyalen Zusammenarbeit (Art. 4 Abs. 3 UAbs. 1 EUV), erfährt.'* 

Anders als etwa die Meteorologie kann die junge „Disziplin der IT-Frühwar- 
nungen“ nicht auf einen über Jahrhunderte konsolidierten Erfahrungsschatz zu- 
rückgreifen. Ob sich im azentrischen Netzwerk der CSIRTs ohne Einrichtung 
einer zentralen Sammelstelle zur Auswertung der Indikatoren ein effektives 
Frühwarnsystem etabliert, bleibt abzuwarten. Für den gelingenden Aufbau ei- 
nes europäischen Frühwarnmechanismus sind Prozesse der autonomen Rezep- 
tion und Fortentwicklung, d.h. des gegenseitigen Lernens, Voraussetzung. In 
technischer Hinsicht besteht hoher Forschungsbedarf, um die sensorbasierte 
und quellenbasierte Datengewinnung und Verfahren automatisierter Analyse 
von Frühwarnungen fortzuentwickeln.'”5 Insbesondere das Problem, wie trotz 
der netzwerkartigen Struktur der CSRITS-Kooperation der „dringend benötigte 
Gesamtüberblick“ ermöglicht werden kann, ist dabei eine Herausforderung. '* 
Sekundärrechtlich wird das Verfahren zur Exploration neuer Kooperationsfor- 
men zur Aufgabe des CSIRTs-Netzwerk gemacht. Frühwarnungen können im 
CSRITs-Netzwerk zum Gegenstand der Erörterung gemacht werden, um weite- 
re Formen der operativen Zusammenarbeit zu sondieren und zu ermitteln 


831 Deleuze/Guattari, Tausend Plateaus: Kapitalismus und Schizophrenie, Nachdr. der 
6. Aufl. 2010, S. 36. 
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wertung bei Gärditz, Hochschulorganisation und verwaltungsrechtliche Systembildung, 
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(Art. 12 Abs. 3 lit. f. ii NIS-RL). Die ENISA hat ausdrücklich die Aufgabe, den 
Aufbau eines Frühwarnsystems in der Union, das die Systeme der Mitgliedstaa- 
ten ergänzt, zu unterstützen (Art. 3 Abs. 1 lit. b. vii). Da die Mitgliedstaaten ihre 
nationalen Strategien für die Sicherheit von Netz- und Informationssystemen, 
die gemäß Art. 7 Abs. 1 lit. e NIS-RL Angaben der Forschungs- und Entwick- 
lungspläne behandeln müssen, der Kommission mitzuteilen sind (Abs. 3), be- 
steht zumindest bei der Kommission ein Überblick darüber, ob und welche na- 
tionalen Forschungsprioritäten bezüglich eines Frühwarnsystems gesetzt wer- 
den. Auf den Forschungsbedarf kann die Kommission im CSIRTs-Netzwerk 
hinweisen, da ihr trotz des Beobachterstatus ein Rederecht zusteht. 


c) Reaktion auf Sicherheitsvorfälle und Abschwächung von Risiken 


Der Informationsaustausch über konkrete Sicherheitsrisiken und -vorfälle ist 
von herausgehobener Relevanz, da er geeignet ist, unmittelbar zur Gewähr- 
leistung der Sicherheit beizutragen. 


aa) Horizontaler Informationsaustausch über Sicherheitsvorfälle 


Der Informationsaustausch auf horizontaler, mithin nationaler und zwischen- 
staatlicher Ebene ist von erheblicher Bedeutung, da die Mitgliedstaaten eine 
oder mehrere für die Sicherheit von Netz- und Informationssystemen zuständi- 
ge nationale Behörde benennen können. 


(]) Informationsaustausch in Deutschland 


Ein besonderer Informationsaustausch besteht hinsichtlich der gesammelten In- 
formationen über die Sicherheit in kritischen Infrastrukturen. 

Da die Meldungen bei Sicherheitsbeeinträchtigungen von Telekommunika- 
tionsunternehmen direkt an die Bundesnetzagentur zu richten sind, besteht das 
Erfordernis eines Informationsaustauschverhältnisses zwischen der Bundes- 
netzagentur und dem BSI. Die bei der Bundesnetzagentur eingegangenen Mel- 
dungen sowie die Informationen über die von dem betreffenden Unternehmen 
ergriffenen Abhilfemaßnahmen sind dementsprechend gemäß $ 109 Abs. 5 S. 5 
TKG unverzüglich an das BSI weiterzuleiten. Die Weiterleitungspflicht besteht 
indes nur, „soweit es sich um Sicherheitsverletzungen handelt, die die Informa- 
tionstechnik betreffen“. Dass nur „Sicherheitsverletzungen‘“ und nicht auch alle 
gemeldeten Beeinträchtigungen weitergeleitet werden, steht in einem Span- 
nungsverhältnis zu der Aufgabe des BSI, ein möglichst vollständiges und vali- 
des Lagebild zu erstellen." Angesichts der technischen Möglichkeiten, eine 
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Nachricht mehreren Adressaten gleichzeitig zu melden, bleibt die Eignung des 
indirekten, über die Bundesnetzagentur verlaufenden Meldeweges zum BSI 
fragwürdig. Die Verlängerung des Meldewegs lässt sich allenfalls damit be- 
gründen, die Bundesnetzagentur übernehme eine gewisse Filterfunktion. Aus 
Gründen der operativen Funktionsfähigkeit der Informationsverarbeitung und 
angesichts notorisch unzureichender kognitiver Kompetenzen in der administ- 
rativen Wissensverarbeitung kann es sinnvoll sein, tatsächlich oder vermeint- 
lich nicht erhebliche Informationen nicht zur Kenntnis nehmen zu müssen. Zu 
den Strategien im Wissensmanagement gehören vorab eingerichtete Sperren 
gegenüber der Wissensgewinnung.'® Allerdings betrifft dieser Modus des Um- 
gangs mit Informationen eher die menschliche als die automatisierte Datenver- 
arbeitung. Insofern ist die Ausgestaltung des nationalen Informationstransfers 
Ausdruck herkömmlicher, am einzelnen Amtswalter orientierter Informations- 
verarbeitung. 

Die Pflicht der Bundesnetzagentur, unverzüglich das BSI zu unterrichten, be- 
steht im Übrigen gemäß § 109 Abs. 8 TKG hinsichtlich der im Rahmen von Si- 
cherheitsaudits aufgedeckten Mängel bei der Erfüllung der Anforderungen in 
der Informationstechnik sowie für die in diesem Zusammenhang geforderten 
Abhilfemaßnahmen. 

Dem BSI kommt es als zentrale Informationssicherheitsbehörde seinerseits 
zu, andere zuständige Bundesbehörden und die zuständigen Aufsichtsbehörden 
der Länder über die zur Erfüllung ihrer Aufgaben erforderlichen Informationen 
zu unterrichten ($ 8b Abs. 2 Nr. 4 c) BSIG). Als Adressaten kommen insbeson- 
dere das Bundesamt für Verfassungsschutz und der Bundesnachrichtendienst in 
Betracht, da die kritischen Infrastrukturen zum einen Gefahren durch terroris- 
tische Bestrebungen ausgesetzt sind, zum anderen Ziel von Angriffen „mit Be- 
zug zur Bundesrepublik Deutschland“ (vgl. § 5 Abs. 1 S. 3 Nr. 8 G10) sein kön- 
nen. Die Tätigkeit der Nachrichtendienste bezieht sich vor allem auf die Rück- 
verfolgung von Schadsoftware im Ausland.'°? In praktischer Hinsicht kann der 
Informationsaustausch im Nationalen Cyber-Abwehrzentrum realisiert werden. 
Dort ist das BSI mit den anderen Bundesbehörden unter eine organisatorische 
Einheit zusammengefasst." Die Weitergabe von Intelligence und sonstigen In- 
formationen an die zuständigen Aufsichtsbehörden des Bundes und der Länder 
ist zwingend („hat [...] unverzüglich [...] zu unterrichten“). Die Formulierung 
weist auf die Begründung einer gesetzlichen Verpflichtung zur Kooperation 
hin, die über die Aufgabenzuweisungen des $3 BSIG und die erforderlichen- 
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falls statthafte Amtshilfe gegenüber Strafverfolgungs- und Sicherheitsbehörden 
hinausgeht. Erkennen lässt sich in der Kooperationspflicht ein vorsichtiger Wan- 
del vom Prinzip des „need to know“ hin zum Prinzip des „need to share”. Bei 
einem Informationsaustausch auf der Basis von „need to know“ werden nur 
Erkenntnisse weitergegeben, wenn diese unbedingt erforderlich sind, und nicht 
schon dann, wenn ein Austausch rechtlich erlaubt ist. Der Grundsatz des „need 
to share“ meint den erleichterten Austausch bzw. die Verpflichtung zum Daten- 
austausch.'*' Die Unterrichtung der Bundes- und Länderbehörden betrifft dem 
Wortlaut nach nur die zur Aufgabenerfüllung „erforderlichen Informationen“, 
die Pflicht zur unverzüglichen Weitergabe besteht aber in jedem Falle, sodass 
der Informationsaustausch im Ansatz begünstigt wird. In welcher Form das BSI 
das Datenmaterial bereitzustellen hat, ist fraglich. In Betracht kommen ausge- 
hend vom Rohdatenmaterial verschiedene Verarbeitungsstufen. Im Ergebnis 
richtet sich die Form der Datenbereitstellung grundsätzlich danach, ob der 
Schutz von Quellen und Geheimnissen geboten ist oder ob rechtlich schutzwür- 
dige Interessen der Betreiber kritischer Infrastrukturen dem Austausch entge- 
genstehen. Die zu übermittelnden Daten können dem rechtlichen Schutzbedürf- 
nis angepasst werden. Je nach gebotenem Schutz können sie dann als unstruk- 
turiertes Rohdatenmaterial, aggregiert (konsolidiert bzw. verdichtet) oder 
sanitarisiert (den Quellschutz beachtend) zur Verfügung gestellt werden.'*? 


(2) Informationsaustausch zwischen den Mitgliedstaaten 


Grundsätzlich wird der Informationsaustausch zwischen den Mitgliedstaaten 
nicht durch unmittelbare Pflichten angeleitet. Eine Ausnahme besteht für Infor- 
mationen über meldepflichtige Sicherheitsvorfälle. Deren Austausch erfolgt ho- 
rizontal und wird unionsrechtlich vorgegeben. Dabei ist zwischen Meldungen 
über Sicherheitsvorfälle bei Betreibern wesentlicher Dienste und denen bei An- 
bietern digitaler Dienste zu differenzieren." 

Die einer nationalen NIS-Behörde oder einem CSIRTs von einem Betreiber 
kritischer Infrastrukturen gemeldeten Informationen sind einem anderen be- 
troffenen Mitgliedstaat mitzuteilen (Art. 14 Abs. 5 NIS-RL). Über Sicherheits- 
vorfälle bei Anbietern digitaler Dienste sind andere Mitgliedstaaten nur „gege- 
benenfalls“ zu unterrichten (Art. 16 Abs. 6 NIS-RL). 
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Die Schwelle zur Weiterleitungspflicht ist gemessen an der Bedeutung der 
grenzüberschreitenden Zusammenarbeit der Mitgliedstaaten und der grenz- 
überschreitenden Tätigkeit der Betreiber und Anbieter von internetbezogenen 
Infrastrukturen und Diensten hoch.'* 

Die Pflicht zur Weitergabe der Informationen über Sicherheitsvorfälle bei 
kritischen Infrastrukturen greift nur, sofern der Vorfall erhebliche Auswirkun- 
gen auf die Verfügbarkeit wesentlicher Dienste in jenem Mitgliedstaat hat. Dies 
erfordert eine Feststellung durch die zuständige Behörde. Informationen über 
Sicherheitsvorfälle, die nur potenziell eine grenzüberschreitende Folge haben, 
müssen nicht übermittelt werden. Ausgenommen von der Weiterleitungspflicht 
sind zudem Sicherheitsvorfälle, die andere Schutzziele der Netz- und Informa- 
tionssicherheit neben der Verfügbarkeit, d.h. die Authentizität, Integrität oder 
Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder ent- 
sprechender Dienste, betreffen. 

Die Weitergabe der Informationen über Sicherheitsvorfälle bei digitalen 
Diensten hängt ebenfalls davon ab, ob die weitergebende Behörde selbst an- 
nimmt, dass ein Vorfall mit grenzüberschreitendem Bezug vorliegt. Der Sicher- 
heitsvorfall muss zwei oder mehr Mitgliedstaaten betreffen. Denkbar sind aber 
auch andere Fallgestaltungen („gegebenenfalls und insbesondere, wenn [...]"). 
Insofern kommt der Behörde tatsächlich wie rechtlich ein Wertungsspielraum 
zu. Die eventuell bestehende Informationspflicht ist in inhaltlicher Hinsicht 
nicht auf Sicherheitsvorfälle begrenzt, welche die Verfügbarkeit von digitalen 
Diensten betreffen. 

Der horizontale Informationsaustausch in seiner europäischen Dimension 
lässt sich als Ausfluss der strategisch angelegten Informationskooperation der 
Mitgliedstaaten deuten. Den Informationspflichten liegt ein Gratifikationsprin- 
zip zugrunde. Durch die Begrenzung der Informationspflicht bei Vorfällen in 
wesentlichen Diensten, die die Verfügbarkeit eines Dienstes betreffen, sind 
letztlich nur solche Vorfälle verpflichtend weiterzuleiten, deren Folgen sich po- 
tenzieren und auf den meldenden Mitgliedstaat zurückschlagen können. Eine 
unmittelbare Pflicht zur (ausschließlich) fremdnützigen Informationsweitergabe 
ergibt sich aus den Informationspflichten gerade nicht. 

Eine nationale Entsprechung dieser Informationspflicht besteht für das BSI 
nicht. Dagegen trifft die Bundesnetzagentur eine aktive Unterrichtungspflicht 
gegenüber den „nationalen Regulierungsbehörden anderer Mitgliedstaaten“ 
nach $ 109 Abs.5 S.3 TKG. Diese werden „erforderlichenfalls‘“ über die ihr 
gemeldeten Sicherheitsverletzungen unterrichtet. Solange eine entsprechend 
klarstellende Regelung für das BSI nicht besteht, kommt allerdings die Anwen- 
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dung von § 8d VwVfG in Betracht. Die Vorschrift regelt ein Tätigwerden der 
nationalen Behörde im Sinne einer Mitteilung von Informationen und Sachver- 
halten, sofern diese nach Maßgabe von Rechtsakten der Union geboten ist. § 8d 
VwVfG begründet selbst keine Verpflichtung zu einer Mitteilung, sondern 
macht diese nach Art und Umfang von Rechtsakten der Union abhängig." Aus 
§ 8e S. 1 VwVfG ergibt sich aber, dass die Regelung nur Anwendung findet, 
wenn der sekundärrechtliche Rechtsakt unmittelbare Wirkung entfaltet, im Üb- 
rigen mit Ablauf der jeweiligen Umsetzungsfrist. Auf $ 8d VwVfG kann sich 
das BSI demnach erst mit Ablauf der Umsetzungsfrist der NIS-Richtlinie (vgl. 
Art. 25 NIS-RL) berufen. 


bb) Horizontaler Informationsaustausch über Sicherheitsvorfälle mit 
vertikalen Bezügen 


Für den Austausch von Informationen zwischen der mitgliedstaatlichen und der 
europäischen Ebene kommt dem CSIRTs-Netzwerk eine herausgehobene Posi- 
tion zu. Innerhalb dieses Netzwerks können Informationen zu einzelnen Sicher- 
heitsvorfällen ausgetauscht und bereitgestellt werden (Art. 12 Abs. 3 lit. c NIS- 
RL) sowie Informationen im Zusammenhang mit diesem Vorfall und damit 
verbundenen Risiken ausgetauscht und erörtert werden (Art. 12 Abs. 3 lit. b 
NIS-RL). 


(]) Informationen zu einzelnen Sicherheitsvorfällen im CSIRTS-Netzwerk 


Informationen über einzelne Sicherheitsvorfälle werden unionsrechtlich auf 
freiwilliger Basis im CSIRTS-Netzwerk ausgetauscht und bereitgestellt. Die 
mitgliedstaatlichen Aufgaben im CSIRTs-Netzwerk nehmen Vertreter der mit- 
gliedstaatlichen CSIRTs wahr. Dem sekundärrechtlichen Leitbild gemäß wer- 
den lediglich „nicht vertrauliche“ Informationen ausgetauscht. Die Vertraulich- 
keit bezieht sich auf unternehmensbezogene Daten." Die Informationen betref- 
fen demnach grundsätzlich keine nach Unionsrecht oder dem Recht eines 
Mitgliedstaates geschützten Unternehmensgeheimnisse wie spezifische techni- 
sche Rahmendaten oder Sicherheitslücken, hinsichtlich derer ein Unternehmen 
ein berechtigtes Geheimhaltungsinteresse hat. 

Die Beschränkung des Informationsaustausches auf nicht vertrauliche Infor- 
mationen entspricht nicht der herkömmlich CSIRTs zugeschriebenen Rolle im 
Ökosystem der IT-Sicherheit. 
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Als zentrale Anlaufstellen für IT-Sicherheitsprobleme zeichnen sich CSIRTs 
durch ihre Vertrauensstellung aus, die sich aus der persönlichen Zusammenar- 
beit sowie aus der Institutionalisierung als Einrichtung für dringende Nothilfe 
ergibt." Ein besonderes Merkmal ist die Verschwiegenheit. Dies kommt insbe- 
sondere in der Vernetzung und Kooperation der CSIRTs untereinander zum 
Tragen. Vertraulichkeit und Vertrauen spielen die zentrale Rolle, um Sicher- 
heitsprobleme und Vorfälle kommunizieren und besprechen zu können. Das 
institutionelle Vertrauen in CSIRTs-Vernetzungen wird vor allem durch beson- 
dere Auswahl- und Aufnahmeverfahren hergestellt. Das Forum for Incident Re- 
sponse and Security Teams (FIRST) ist das weltweite Forum für CSIRTs. Um 
Mitglied der Vereinigung zu werden, müssen CSIRTs über ein CSIRT einge- 
führt werden, dem bereits vertraut wird (trusted introducer).'* Durch diese 
Prozesse hat sich bei den CSIRTs eine eigene Kultur des Vertrauens und der 
Gegenseitigkeit etabliert. 

Insofern ist die deskriptive Klarstellung in Art. 12 Abs. 3 lit. c NIS-RL, dass 
nichtvertrauliche Informationen freiwillig über das CSIRTs-Netzwerk ausge- 
tauscht werden, so zu verstehen, dass bestehende informelle und vertrauens- 
würdige Kanäle und Netzwerke für den Austausch von sicherheitsbezogenen 
Informationen zwischen CSIRTs nicht berührt werden sollen. Die NIS-RL 
erhebt demnach hinsichtlich des vertikalen Informationsaustausches nicht den 
Anspruch, die Informationsbeziehungen zwischen den CSIRTs abschließend 
informationsverwaltungsrechtlich zu ordnen. Die Nutzung und Weiterentwick- 
lung von vertrauensbasierten, europäischen Informationsaustauschverfahren 
im Wege der Selbstregulierung der CSIRT ist somit nicht durch eine Sperrwir- 
kung des Unionsrechts ausgeschlossen. !5° 

Ein weiterer Meldeweg für Sicherheitsverletzungen besteht zwischen den na- 
tionalen telekommunikationsrechtlichen Regulierungsbehörden und der Euro- 
päischen Agentur für Netz- und Informationssicherheit. Auf Grundlage von 
Art. 13a Abs. 3 UAbs. 2 S. 1 RL 2009/140/EG und gemäß $ 109 Abs. 5 S. 3 TKG 
hat die Bundesnetzagentur „erforderlichenfalls“ die ENISA über von Telekom- 
munikationsunternehmen gemeldete Sicherheitsverletzungen zu unterrichten. 

Gegen diesen zusätzlichen Informationskanal spricht zumindest rechtlich 
nicht die dem BSI zugewiesene Rolle als zentrale Stelle für die Zusammenarbeit 
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mit den zuständigen ausländischen Stellen. Die Aufgabe des zentralen Kommu- 
nikationsknotens übernimmt das BSI unbeschadet besonderer Zuständigkeiten 
anderer Stellen ($ 3 Abs. 1 S. 2 Nr. 16 BSIG).'?! 

Die Zweckmäßigkeit dieser interbehördlichen vertikalen Informationspflicht 
ist zu bezweifeln. Zum einen hat die ENISA selbst keinen operativen Auftrag. Sie 
unterstützt den Aufbau von Fähigkeiten durch spezifische Maßnahmen zur Er- 
leichterung der Zusammenarbeit (vgl. Art. 3 Abs. 1 lit. b ENISA-VO). Innerhalb 
des eingerichteten CSIRTs-Netzwerks führt die ENISA lediglich die Sekretari- 
atsgeschäfte und unterstützt die aktive Zusammenarbeit zwischen den CSIRTSs. 
Die Aufgabe eines gleichberechtigten Gebers und Nehmers von Informationen 
über Sicherheitsvorfälle ist ihr nicht zugewiesen. Zum anderen besteht mit 
Art. 3a Abs. 3 UAbs. 2 S. 1 RL 2009/140/EG bzw. $ 109 Abs. 5 S.3 TKG eine 
überflüssige Parallelstruktur für den Austausch von Informationen über Sicher- 
heitsverletzungen. Es sind die CSIRTs, die bereits gemäß ihrer Bezeichnung den 
Auftrag haben, Sicherheitsinformationen zu bewerten, Sicherheitsvorfälle zu 
erkennen und die Betroffenen bei deren Eindämmung zu unterstützen. Sie besit- 
zen die notwendige Expertise im Umgang mit außergewöhnlichen Sicherheits- 
vorfällen in Netzen und Informationssystemen und zeichnen sich durch schnelle 
Reaktionszeiten aus. Sie haben die erforderliche Erfahrung in der Kommunika- 
tion mit anderen Akteuren der IT-Sicherheit und können Sacherhalte effizienter 
besprechen. Sofern der Sinn und Zweck der telekommunikationsrechtsspezifi- 
schen Meldestruktur darin zu sehen ist, Sicherheitsinformationen mit grenz- 
überschreitender Relevanz auf europäischer Ebene bereitzustellen, wird dieser 
Zweck bereits durch die Einrichtung des CSIRTs-Netzwerk erfüllt. Der Informa- 
tionsaustausch über die CSIRTSs ist typischerweise auch zügiger und damit effek- 
tiver. Geht es auf strategischer Ebene darum, aus den Sicherheitsmeldungen 
langfristiges Erfahrungswissen abzuleiten, so ist die Kooperationsgruppe die 
geeignete Einrichtung. Zu ihren Aufgaben gehört insbesondere die „Sammlung 
von Informationen über bewährte Verfahren bei Risiken und Sicherheitsvorfäl- 
len“ (Art. 11 Abs. 3 lit.i NIS-RL). Der Beitrag der informationsverwaltungs- 
rechtlichen Pflicht des $ 109 Abs. 5 S.3 TKG ist demnach zweifelhaft.'” 


151 Im Übrigen können der Bundesnetzagentur unbeschadet der Zuständigkeit anderer 
Stellen nach $ 140 Abs. 1 S.2 TKG internationale Aufgaben im „Eigenbefugnisbereich“ zu- 
kommen, Groebel, in: Säcker (Hrsg.), TKG, 3. Aufl. 2013, $ 140 Rn. 1 ff. 

152 Eine weitere Pflicht zum vertikalen Informationsaustausch kann sich für die Bundes- 
netzagentur im Übrigen aus Art. 5 Abs. 2 RL 2002/21/EG ergeben. Danach hat die nationale 
Regulierungsbehörde der Kommission alle Informationen zur Verfügung zu stellen, die sie 
zur Erfüllung der sich aufgrund des AEUV ergebenden Aufgaben benötigt. Diese Pflicht ist 
fachgesetzlich in $ 123b TKG umgesetzt, der die weiteren Voraussetzungen regelt. Die Vor- 
schrift ist Verbindung mit $ 123a TKG vor allem im Kontext der Informationsübermittlung 
im Regulierungsverbund der nationalen Telekommunikationsregulierungsbehörden zu lesen 


242 $4 Transfer von Informationen im Rahmen der europäischen Zusammenarbeit 


(2) Informationen im Zusammenhang mit Sicherheitsvorfällen und über 
Computerkriminalität 


Über das CSIRTs-Netzwerk werden neben Informationen zu einzelnen Sicher- 
heitsvorfällen solche Informationen ausgetauscht, die im Zusammenhang mit 
einem konkreten Sicherheitsvorfall stehen. Welche Kontextinformationen Ge- 
genstand dieses formalisierten Informationsaustausches sein können, wird 
durch die Vorschrift nicht näher spezifiziert. Der Wortlaut von Art. 12 Abs. 3 
lit. b NIS-RL erlaubt es, insbesondere auch solche Informationen auszutauschen 
oder zum Gegenstand der Erörterung zu machen, die eine Relevanz für die 
Strafverfolgung aufweisen. Die Strafverfolgung im Bereich des Computerstraf- 
rechts ist in besonderer Weise auf Informationen angewiesen. 

Die Virtualisierung und die Vernetzung der informationstechnischen Syste- 
me haben Folgen für die Attribution der angreifenden Akteure. Die Erkenntnis, 
dass der technische Ausgangspunkt eines Kommunikationsvorgangs identifi- 
ziert wurde, bedeutet nicht, dass davon ausgegangen werden kann, dass an eben 
diesem Ort die Kommunikation initiiert wurde. Durch Proxy-Programme kön- 
nen Internetverbindungen verschleiert werden, indem eine Kette von Verbin- 
dungen aufgebaut wird, die nur sehr aufwendig oder gar nicht zurückverfolgt 
werden kann. Für die Cyberforensik stellen sich demnach vor allem Probleme 
bei der Identifizierung der handelnden Personen zur Beweissicherung. Ihre Be- 
stimmung und Nachverfolgung wird durch Praktiken der Anonymisierung oder 
Verschleierung oder des Identitätsdiebstahls erschwert.'” 

CSIRTs haben häufig Zugang zu den erforderlichen forensischen Informatio- 
nen, unterliegen aber keinem Ermittlungszwang. Anders als Strafverfolgungs- 
behörden müssen CSIRTs nicht nach dem Legalitätsprinzip bei tatsächlichen 
Anhaltspunkten Ermittlungen einleiten und ihre Quellen und Erkenntnisse 
schützen. Für den darauf bezogenen Austausch von Informationen bedarf es 
insofern einer rechtlichen Anleitung. Art. 12 Abs. 3 lit. b NIS-RL sieht diesbe- 
züglich vor, dass Informationen im Zusammenhang mit einem konkreten Si- 
cherheitsvorfall „auf Antrag“ des Vertreters eines CSIRTs im CSIRTs-Netz- 
werk ausgetauscht und erörtert werden. Der Informationsaustausch vollzieht 
sich ad hoc und damit im Wege der Informationshilfe. Antragsberechtig sind 
nur CSIRT-Vertreter eines potenziell betroffenen Mitgliedstaats. Entsprechend 


(vgl. $ 123b Abs. 4). Das maßgebliche Gremium Europäischer Regulierungsstellen für elekt- 
ronische Kommunikation (GEREK) übernimmt indes keine Aufgabe mit Bezug zur Gewähr- 
leistung der Netz- und Informationssicherheit, Art.2 und 3 VO (EG) Nr. 1211/2009; vgl. 
Schönau, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, $ 123b Rn. 1. 

133 Brodowski/Freiling, Cyberkriminalität, Computerstrafrecht und die digitale Schatten- 
wirtschaft, 2011, S. 24. 
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dem Wesen dieses Mittels zur Informationskooperation in fremden Aufgaben- 
bereichen ist der Informationsaustausch kein Automatismus. Die Informations- 
hilfe resultiert nicht aus einer Informationsbeschaffungspflicht. Das CSIRT ei- 
nes jeden Mitgliedstaats, d.h. nicht nur eines von einem Sicherheitsvorfall be- 
troffenen Mitgliedstaats, kann daher die Beteiligung an diesen Erörterungen 
ablehnen, wenn die Gefahr einer Beeinträchtigung der Untersuchung des Vor- 
falls besteht (Art. 12 Abs. 3 lit. b 2. HS NIS-RL). 

Trotz dieser Möglichkeit, den Antrag am Maßstab der Opportunität abzuleh- 
nen, und trotz der Vorgabe, dass nur „wirtschaftlich nicht sensible Informationen“ 
ausgetauscht oder erörtert werden, stellt sich die Frage, ob bereits von der bloßen 
Möglichkeit, einen Informationsantrag zu stellen, ein Abschreckungseffekt 
(chilling effect) für den Informationsaustausch über Sicherheitsvorfälle ausgeht. 
Durch die Antragstellung wird im CSIRTs-Netzwerk eine Situation hervorgeru- 
fen, zu der sich der adressierte Mitgliedstaat kommunikationstheoretisch nicht 
nicht verhalten kann. Zumindest muss sich das CSIRT eines Mitgliedstaats durch 
eine Ablehnung des Erörterungswunsches verhalten. Gerade weil CSIRTs auf 
Vertrauensbasis operieren und sie Informationen auch von privaten Dritten bezie- 
hen können, kann ein CSIRT im Einzelfall ein Interesse daran haben, dass der 
Informationsaustausch keine strafprozessualen Ermittlungen nach sich zieht. 
Dieses Interesse kann insbesondere darin begründet sein, dass ein über einen Si- 
cherheitsvorfall informierendes Unternehmen selbst Ziel von Ermittlungen wer- 
den könnte. Um seine Informationskanäle zu schützen und nicht in das Dilemma 
zu geraten, seine Quellen aufdecken zu müssen, könnte eine CSIRT davon Ab- 
stand nehmen, an dem — ohnehin nur auf freiwilliger Basis bestehenden — Infor- 
mationsaustausch aktiv zu partizipieren. Da ein Antrag über den Austausch von 
Kontextinformationen überhaupt die Kenntnis über einen Sicherheitsvorfall vor- 
aussetzt, kann ein CSIRT die problematische Information gezielt vorenthalten, 
um einen Antrag nicht ablehnen zu müssen und auf diese Weise negative Auswir- 
kungen auf die Vertrauensbeziehung zu anderen CSIRTs zu riskieren. 

Im Ergebnis lässt sich festhalten, dass der Austausch von Informationen im 
Zusammenhang mit Sicherheitsvorfällen, insbesondere solcher mit Relevanz 
für die Strafverfolgung, kaum über das Informationsverwaltungsrecht gesteuert 
wird. Den Akteuren, denen Freiraum für opportunistische Erwägungen einge- 
räumt ist, wird der Austausch weitgehend selbst überlassen. Indem sich das Se- 
kundärrecht in der NIS-RL auf die Beschreibung gesetzgeberischer Leitbilder 
beschränkt, können gleichwohl bestehende informelle etablierte Informations- 
kanäle zwischen den CSIRTs mit einem je eigenen Modus vivendi erhalten blei- 
ben. Der Austausch außerhalb der durch die NIS-RL vorgegebenen informa- 
tionsverwaltungsrechtlichen Verfahren muss dem an sich bezweckten Informa- 
tionsaustausch der Sicherheitsgewährleistung nicht abträglich sein. 
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cc) Reaktion auf einen Sicherheitsvorfall 


Prävention allein kann keinen vollständigen Schutz vor konkreten Gefahren bie- 
ten. Denn Sicherheitsvorfälle ereignen sich trotz Präventions- und Detektions- 
maßnahmen. Daher ist Reaktion auf Sicherheitsvorfälle Bestandteil jedes Kon- 
zepts zur Sicherheitsgewährleistung. Wegen der Spontaneität von Sicherheits- 
vorfällen sind Dringlichkeit, Dezision und Reaktion im Informationsaustausch 
erforderlich. Um in Situationen zeitnah handeln zu können, müssen alle mit der 
Gewährleistung der Sicherheit Beauftragen auf den Ernstfall vorbereitet sein. 
Ein darauf bezogener Informations- und Wissensaustausch verhindert übereil- 
tes und unsachgemäßes Vorgehen und dient der Schadensminimierung. 


(1) Austausch impliziten Wissens durch Übungen 


Ein nützliches Instrument zur Prüfung der Abwehrbereitschaft der Mitglied- 
staaten und deren Zusammenarbeit sind Übungen, bei denen Szenarien für Si- 
cherheitsvorfälle in Echtzeit simuliert werden. Aus wissenstheoretischer Sicht 
sind Übungspraktiken vor allem geeignet, den sozialen Charakter der Wissens- 
generierung und des Wissenstransfers zu entsprechen. Implizites Wissen, das 
nicht ohne Weiteres verbalisiert artikuliert werden kann, wird nämlich durch 
praktische Übung, d.h. durch „Nachahmung des ausgewiesenen Könners“, und 
in personaler Interaktion erworben und ausgebildet.'”* Der Transfer dieser Form 
von Wissen ist außerhalb des binnenstaatlichen Kontexts und damit in transna- 
tionalen Konstellationen vor besondere Herausforderungen gestellt, da der Er- 
satz eigener Kenntnisse durch den Rückgriff auf die der anderen ein gewisses 
Vertrauen in Informationsquellen und die Akzeptanz nicht ad hoc überprüfba- 
rer Verlässlichkeit voraussetzt.!5 

Zum Mandat der ENISA gehört es, die Organisation und Durchführung von 
Übungen auf Unionsebene zu unterstützen (Art. 3 Abs. 1 lit. b v) ENISA-VO). 
Allerdings sind die Mitgliedstaaten nicht verpflichtet, Übungen zu planen oder 
an ihnen teilzunehmen. Auf freiwilliger Basis finden dennoch Cyber-Übungen 
statt, aus deren Evaluierung Empfehlungen abgeleitet werden können.'® Unge- 
achtet tatsächlich durchgeführter Übungen besteht zwischen den Mitgliedstaa- 
ten Informationsaustauschbedarf hinsichtlich der Planung und der strategischen 


154 Augsberg, Informationsverwaltungsrecht, 2014, S. 81. 

155 Vgl. Scherzberg, Zum Umgang mit implizitem Wissen- eine disziplinenübergreifende 
Perspektive, in: Schuppert/Voßkuhle (Hrsg.), Governance von und durch Wissen, 2008, 
S. 240 (240 ff.). 

156 ENISA, The 2015 Report on National and International Cyber Security Exercises, 2015, 
S. 26 ff. 
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Entscheidungen über die Ziele der Übungen.'’ So müssen die Prioritätsfelder, 
die Ausgestaltung der Szenarien, die Regelmäßigkeit, die Rollen und Übungs- 
steuerung abgestimmt werden.'°® Vorgesehener Ort der Diskussion dieser Ent- 
scheidungen ist die Kooperationsgruppe. Die „durchgeführten Arbeiten im Zu- 
sammenhang mit Übungen“ sind dort zu erörtern (Art. 11 Abs. 3 lit. k NIS-RL). 
Die Formulierung dieser Aufgabenzuweisung lässt aber kaum darauf schließen, 
dass noch durchzuführende Arbeiten, mithin Planungen von Übungen, Gegen- 
stand der Debatte zu sein haben. Auch die im CSIRTs-Netzwerk stattfindende 
Erörterung der aus den Übungen „gezogenen Lehren“ (Art. 12 Abs. 3 lit. h NIS- 
RL) hält rechtlich die Mitglieder wohl kaum an, Übungen zu initiieren und mit 
Unterstützung der ENISA durchzuführen. Die dem Projektmanagement ent- 
lehnte Terminologie, wie der Begriff „gezogene Lehren“ (lessons learnt), ver- 
weist darauf, dass Erfahrungswissen zur zukünftigen Fehlervermeidung doku- 
mentiert und erhalten werden soll. 

Der Beitrag der informationsverwaltungsrechtlichen Regelungen ist hinsicht- 
lich der Übungen für die Sicherheit von Netzen und Informationssystemen weit- 
gehend auf die der Kooperationsgruppe zugewiesene Aufgabe der Dokumenta- 
tion und Erörterung erfolgreich und weniger erfolgreich erprobter Prozesse in 
der Vergangenheit beschränkt. 


(2) Koordinierte Reaktion 


Ist in einem Netz oder einem Informationssystem ein Sicherheitsvorfall einge- 
treten, gilt es vorrangig, die Sicherheitsmängel zu beheben. Es ist die eigentliche 
Aufgabe der CSIRTs, auf Sicherheitsvorfälle zu reagieren (Art. 9 Abs. 1 NIS- 
RL in Verbindung mit Anhang I Nr. 2 lit. a iii) NIS-RL). 

In der forensischen Informatik werden verschiedene Vorgehensmodelle be- 
handelt, die den Prozess des sog. Incident Response in eine Reihe logischer 
Schritte unterteilen. Gemeinsam haben die Modelle, dass die Bewältigung auch 
eines akuten Vorfalls die Herstellung der Analysefähigkeit voraussetzt, bei- 
spielsweise indem Logdateien hergestellt und gesichert werden. Die hypothe- 
senbasierten Modelle sind daher Grundlage für die Formulierung einer Reakti- 
onsstrategie.'? Die koordinierte Reaktion auf einen Sicherheitsvorfall erfordert 
vor allem deshalb den Austausch von Informationen, weil prinzipiell alle zur 
Verfügung stehenden Umstandsinformationen für die Abfassung einer kohären- 
ten Strategie einzubeziehen sind.!e 


157 Erwägungsgrund 42 NIS-RL. 

158 Vgl. zu politisch umstrittenen Übungen BT-Drs. 17/7578, S. 15. 

159 Dewald/Freiling (Hrsg.), Forensische Informatik, 2015, S. 151 (156). 

160 Mandia/Prosise, Incident Response and Computer Forensics, 2003, S. 151 ff. 
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Die grenzüberschreitende Reaktion auf einen Sicherheitsvorfall wird grund- 
sätzlich im CSIRTs-Netzwerk koordiniert. Eingeleitet wird der dafür erforderli- 
che Informationsaustausch jedoch nur auf Antrag des Vertreters des CSIRT ei- 
nes Mitgliedstaats (Art. 12 Abs. 3 lit.d NIS-RL). Der Vorgängerentwurf zur 
NIS-RL sah noch vor, dass sich die zuständigen Behörden im Anschluss an eine 
Frühwarnung auf eine koordinierte Reaktion einigen mussten, die gemäß einem 
Kooperationsplan erfolgen sollte, den die Kommission ermächtigt gewesen 
wäre, mittels Durchführungsrechtsakten anzunehmen.'e! Durch das Antrags- 
erfordernis erübrigt sich jedweder Automatismus im gemeinsamen Vorgehen. 
Zusätzlich wird die Koordination durch den Vorbehalt geschwächt, dass die 
koordinierte Reaktion nur auszuarbeiten ist, sofern dies möglich ist. Praktisch 
besteht damit kein Mechanismus, der die koordinierte Reaktion auf Sicherheits- 
vorfälle gemäß informationsrechtlicher Standards etabliert. Mangels Sperrwir- 
kung des Antragserfordernisses werden damit bestehende Informationsnetz- 
werke unter den CSRITs stabilisiert. 


(3) Zusammenarbeit mit Datenschutzbehörden bei der Bearbeitung von 
Sicherheitsvorfällen bei wesentlichen Diensten 


Kommt es in wesentlichen Diensten bzw. kritischen Infrastrukturen zu einem 
Sicherheitsvorfall, der zur Verletzung des Schutzes personenbezogener Daten 
führt, kooperiert die NIS-Behörde bei der Bearbeitung des Sicherheitsvorfalls 
eng mit den Datenschutzbehörden (Art. 15 Abs. 4 NIS-RL). 

Aus dem systematischen Zusammenhang der Vorschrift ergibt sich, dass die 
Kooperation („enge Zusammenarbeit“) nicht schon bei der Bearbeitung bekannt 
gemachter oder gemeldeter Sicherheitsvorfälle greift, sondern nur bei Vorfällen 
in wesentlichen Diensten bzw. kritischen Infrastrukturen und dies auch nur bei 
der Verletzung des Schutzes personenbezogener Daten. 

Die unionsrechtliche Pflicht zielt zudem auf die gemeinsame „Bearbeitung“ 
von Sicherheitsvorfällen. Damit ist der Begriff von der „Bewältigung von Si- 
cherheitsvorfällen“ abzugrenzen. Unter Letzterer sind nach dem weiten Be- 
griffsverständnis von Art. 4 Nr. 8 NIS-RL alle Verfahren zur Unterstützung der 
Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen sowie die Re- 
aktion auf solche Vorfälle zu verstehen. Für die Bewältigung von Sicherheits- 
vorfällen sind nicht nur die NIS-Behörden, sondern auch die CSIRTs nach ei- 
nem genau festgelegten Ablauf zuständig.!® 

Bearbeitung kann enger als Teil des sog. Security Incident Handling verstan- 
den werden, und zwar als der Teil, der sich vorrangig mit der Behebung von 


161 Art. 11 COM(2013) 48 final. 
12 Siehe § 4 B II. 2. c) cc). 
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Sicherheitsvorfällen beschäftigt (Security Incident Response).!® Bei der Stö- 
rungsbehebung wird kontrolliert, ob ähnliche Störungen bereits aufgetreten 
sind und geeignete Lösungen zur Beseitigung der Fehlerursachen vorhanden 
sind oder ob nur deren Symptome beseitigt bzw. im Sinne eines Workarounds 
umgangen werden.'‘* Für die Untersuchung und Beseitigung eines Sicherheits- 
vorfalls „ist das entsprechende Fachwissen“ die „unabdingbare Voraussetzung“, 
die Leitlinie des BSI sieht daher vor, dass das Verfahren zur Bereitstellung des 
notwendigen Expertenwissens vorbereitet sein soll. Das Kooperationsgebot 
des Art. 15 Abs. 4 NIS-RL entspricht demnach dem sicherheitstechnischen Be- 
dürfnis einer Zusammenführung des Fachwissens. 

Das Kooperationsgebot kompensiert ein Stück weit die fehlende konsistente 
Harmonisierung der Meldepflichten. Da im Falle einer Sicherheitsverletzung, 
die zugleich eine Verletzung des Schutzes personenbezogener Daten darstellt, 
sowohl eine Meldung an die NIS-Behörden als auch an die Datenschutzbehör- 
den in Betracht kommt, ' kann zumindest im Rahmen der Zusammenarbeit 
eine gleichförmige Qualifikation und Bewertung des Sicherheitsvorfalles statt- 
finden.'7 

Eine allgemeine Pflicht des BSI zur Kooperation mit Datenschutzbehörden 
bei der Bearbeitung von Sicherheitsvorfällen besteht nicht. Die Unterrichtungs- 
pflicht des BSI gemäß $ 5 Abs. 9 BSIG ist keine Umsetzung dieser Vorgabe. Das 
BSI unterrichtet den Bundesbeauftragten für Datenschutz und Informations- 
freiheit über bestimmte Datenverarbeitung im Rahmen der Gefahrenabwehr für 
die Kommunikationstechnik des Bundes. Ungeachtet dessen, dass die Vor- 
schrift die Sicherheit der Kommunikationstechnik des Bundes betrifft, ist darin 
kein Gebot zur Zusammenarbeit zu sehen, da das BSI mit dem Bundesbeauf- 
tragten nicht etwa einen Konsens herstellen, sondern eine Kontrolle ex post er- 
möglichen soll. Es liegt insofern beim nationalen Gesetzgeber, das über die 
Amtshilfe hinausgehende Zusammenarbeitsgebot näher zu spezifizieren. 


13 Vgl. BSI, IT-Grundschutz, B 1.8 Behandlung von Sicherheitsvorfällen, 11. EL Stand 
2009. 

164 Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutz, M 6.64 Be- 
handlung von Sicherheitsvorfällen, 13. EL Stand 2013. 

165 Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutz, M 6.64 Be- 
handlung von Sicherheitsvorfällen, 13. EL Stand 2013. 

166 Siehe § 3 D. 2. und 3. Zur Kritik Schallbruch, CR 2016, 663 (668). 

167 Zur Erfordernis differenzierter Klassifizierungen eines Sicherheitsvorfalls Bundesamt 
für Sicherheit in der Informationstechnik, IT-Grundschutz, M 6.131 Qualifizieren und Be- 
werten von Sicherheitsvorfällen, 11. EL Stand 2009. 
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Gelingende Informationsbeziehungen sind auch bei Bestehen von Informations- 
rechten und -pflichten keine Selbstverständlichkeit. Mitgliedstaaten kommen 
ihren in den Rechtsakten nur vage formulierten Informationsübermittlungs- 
pflichten häufig nicht hinreichend nach.!® Verwaltungen unterliegen zudem Or- 
ganisationsproblemen. Sie unterscheiden sich nicht nur durch die verschieden- 
artigen verfassungsrechtlichen Hintergründe, Abhängigkeiten und Loyalitäts- 
verhältnisse, unterschiedliche Verfahren sowie Verwaltungskulturen, sondern 
letztlich auch durch die Sprache und ihr Selbstverständnis.!“ 

Die dem Informationsaustausch abträglichen organisatorischen und kul- 
turanthropologischen Gegebenheiten können indes durch rechtlich geleitete 
Mechanismen eingehegt werden.!” 

So sind für das Unionsrecht Prinzipien entwickelt worden, deren Qualität im 
Einzelfall die eines Rechtsgrundsatzes oder die eines ordnenden Konzepts ist.!’! 
Prinzipien unterscheiden sich durch Regeln dadurch, dass sie als Optimierungs- 
gebote nach weitgehender Realisierung streben.” An erster Stelle zu nennen ist 
der Grundsatz der loyalen Zusammenarbeit, der zu den „verbundmoderierenden 
Prinzipien“ gehört, die den Informationsaustausch quantitativ wie qualitativ zu 
fördern geeignet sind (1.). Im Zusammenhang mit sicherheitskritischen Infor- 
mationen spielt zudem das Vertrauen eine bedeutende Rolle. Zum Aufbau der 
Vertrauensbasis können informationsverwaltungsrechtliche Maßnahmen bei- 
tragen (2.). Weiteres primärrechtliches Informationsverwaltungsrecht aktiviert 
den Wissenstransfer nur begrenzt (3.). 


1. Grundsatz der loyalen Zusammenarbeit 


Aus dem Grundsatz der loyalen Zusammenarbeit lässt sich eine allgemeine Ko- 
operationspflicht ableiten (a), aus der Anforderungen an den Gehalt der ausge- 
tauschten Information sowie die Art und Weise ihrer Übermittlung folgen (b). 


168 Heußner, Informationssysteme im Europäischen Verwaltungsverbund, 2007, S. 162. 

19 Vogel, National Styles of Regulation, 1986, passim; von Bogdandy, Die Informations- 
beziehungen im europäischen Verwaltungsverbund, in: Hoffmann-Riem/Schmidt-Aßmann/ 
Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Band II, 2. Aufl. 2012, § 25 Rn. 4. 

170 Dazu Terhechte, Europäisches Verwaltungsrecht und europäisches Verfassungsrecht, 
in: ders. (Hrsg.), Verwaltungsrecht der Europäischen Union, 2011, § 7 Rn. 36 ff. 

171 Siehe von Bogdandy, Grundprinzipien, in: ders./Bast (Hrsg.), Europäisches Verfas- 
sungsrecht, 2. Aufl. 2009, S. 13ff., Tridimas, The General Principles of EU Law, 2. Aufl. 
2007, passim. 

172 In diesem Sinne Dworkin, Taking rights seriously, 1978, S. 22 ff.; Alexy, Theorie der 
Grundrechte, 1985, S. 71 ff. 
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a) Allgemeine Kooperationspflicht 


Der Grundsatz der loyalen Zusammenarbeit ist in Art.4 Abs.3 und Art. 13 
Abs. 2 S.2 EUV kodifiziert. Ihm kommt eine Funktion zu, die vergleichbar ist 
mit der Bundestreue im Bundesstaat. Dort wird dieses Institut zur Begründung 
von Informationspflichten, zur Pflicht gegenseitiger Abstimmung und zur Ko- 
operation und Konsultation herangezogen.'”° In der föderal aufgebauten Euro- 
päischen Union kann diesem auf alle Unionsbereiche anwendbaren Grundsatz 
auch in den europäischen Informationsbeziehungen Bedeutung zukommen, da 
aus ihm nicht nur eine Pflicht zur gegenseitigen Rücksichtnahme folgt, sondern 
auch eine allgemeine Kooperationspflicht mit wechselseitigen Informations- 
pflichten.'”* Die Pflichten entfalten sich sowohl im Vertikalverhältnis als auch 
im Horizontalverhältnis zwischen den Mitgliedstaaten.'’° Das Gebot der loya- 
len Zusammenarbeit ermöglicht allerdings für sich noch keine effektiven Infor- 
mationsflüsse in der täglichen Praxis. Denn es lässt sich nicht ableiten, welche 
Voraussetzungen eine Kooperationspflicht im Einzelfall auslösen. Für die Aus- 
gestaltung konkreter Informationspflichten bedürfte es nach dem Grundsatz der 
begrenzten Einzelermächtigung (Art. 5 Abs. 1 und 2 EUV) jeweils einer geson- 
derten Ermächtigung im Primärrecht. Ungeschriebene Informationspflichten 
hat der Europäische Gerichtshof jedoch anerkennt, sofern diese essentiell für 
das Funktionieren der Union sind.'’° Ungeachtet sekundärrechtlicher Detail- 
regelungen verpflichtet Art. 4 Abs. 3 EUV jedenfalls dazu, die Kooperations- 
verfahren in loyaler Weise zu gebrauchen, wobei sich die Verpflichtung vor al- 
lem auf Informations- und Konsultationspflichten fokussiert.!” Stützt die Kom- 
mission ein Auskunftsverlangen etwa auf Art.337 AEUV, kann sie ihrem 
Begehren mit Verweis auf die Kooperationspflicht Nachdruck verleihen. "’ 

Jedenfalls verstärkt die allgemeine Kooperationspflicht die bestehenden in- 
formationellen Regelungen und ist zumindest geeignet, den Informationsaus- 
tausch zu fördern. 


173 Bauer, Die Bundestreue, 1992, S. 8 ff., 346 ff. 

174 EuGH, C-105/03, Rn. 41 ff.; EuGH, C-251/89, Rn. 57. 

175 Wille, Die Pflicht der Organe der Europäischen Gemeinschaft zur loyalen Zusammen- 
arbeit mit den Mitgliedstaaten, 2003, S. 128 f. 

176 Dazu Schmidt-Aßmann, Strukturen europäischer Verwaltung und die Rolle des Euro- 
päischen Verwaltungsrechts, in: Blankenagel/Pernice/Schultz-Fielitz (Hrsg.), Verfassung im 
Diskurs der Welt, 2004, S. 395 (402). 

177 Wille, Die Pflicht der Organe der Europäischen Gemeinschaft zur loyalen Zusammen- 
arbeit mit den Mitgliedstaaten, 2003, S. 47 ff. 

178 Weitergehend Herrmann, in: Streinz (Hrsg.), EUV/ABUV, 2. Aufl. 2012, AEUV, Art. 337 
Rn. 1. 
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b) Inhaltliche Anforderungen an auszutauschende Informationen 


Aus dem Kooperationspflicht können neben der grundsätzlichen Bedeutung für 
die Verwaltungskooperation praktische Anforderungen hinsichtlich des Gehalts 
der Information und der Art und Weise ihrer Übermittlung folgen. Das Infor- 
mationsaustausch-Paradigma in der NIS-Kooperation beruht auf Annahmen 
bezüglich der Qualität, welche die Informationen aufweisen müssen. Expliziert 
sind die Eigenschaften, die ausgetauschte Informationen aufweisen müssen, in 
der NIS-RL indessen nicht. Damit Informationen verarbeitet werden können, 
müssen sie im Kontext der Sicherheitsgewährleistung grundsätzlich anschluss- 
fähig (actionable) verlässlich (reliable) und handhabbar (manageable) sein.'” 
Wird etwa eine Information über eine bereits bekannte IT-Sicherheitsschwach- 
stelle geteilt, hat sie kaum einen Mehrwert für die empfangende Stelle. Ebenso 
nutzlos kann eine Information über unbekannte Schwachstellen sein, wenn die 
Fähigkeit und Kapazität fehlt, die entsprechenden Schutzmaßnahmen zu ergrei- 
fen. Informationen sind zudem irrelevant, wenn sie vom Empfänger nicht ver- 
arbeitet werden können. Ferner bemisst sich das Potenzial der Analyse im Rah- 
men von Monitoring- und Anomalieerkennungsverfahren an der Qualität der 
Algorithmen und daran, dass die analytisch festgestellten Muster von den Nut- 
zern der Informationen als nützlich identifiziert werden. '?® 

Soweit inhaltliche Anforderungen nicht durch die zu erlassenden Durchfüh- 
rungsrechtsakte der Kommission aufgestellt werden, kann Art. 4 Abs. 3 EUV 
selbst oder in Verbindung mit einer Hauptpflicht zur Informationsübermittlung 
herangezogen werden, um bestimmte Eigenschaften einzufordern. Primärrecht- 
lich lassen sich etwa Anforderungen wie Entscheidungserheblichkeit (Relevanz), 
Verständlichkeit, Vergleichbarkeit, Wahrhaftigkeit, Vollständigkeit und Aktua- 
lität begründen.'?! In bestimmten Konstellationen dürfte außerdem die Nach- 
prüfbarkeit und die Klarheit zu nennen sein.'®? Aus dem Aspekt der „loyalen“ 
Zusammenarbeit ließe sich in Kombination mit dem Grundsatz der Rechtsstaat- 
lichkeit (Art. 2 EUV) sogar ein Grundsatz der Datenrichtigkeit im europäischen 


19 Bambauer, Sharing Shortcomings, Loyola University Chicago Law Journal Vol. 47 
(2015), 465 (473); vgl. ENISA, Actionable information for security incident response, 2014, 
S.2ff., die als maßgeblich „relevance“, „timelessness“, „accuracy“, „completeness“ und „di- 
gestibility“ auflistet. 

180 Ähnlich sind die Anforderungen von Software im Bereich Cybersicherheit, vgl. etwa 
Palantir, Cyber Security, abrufbar unter: www.palantir.com/solutions/cyber. 

81 von Bogdandy, Informationsbeziehungen im europäischen Verwaltungsverbund, in: 
Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, 
Band II, 2. Aufl. 2012, $ 25 Rn. 26. 

182 Sommer, Verwaltungskooperation am Beispiel administrativer Informationsverfahren 
im Europäischen Umweltrecht, 2003, S. 424 ff. 
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Verwaltungsverbund formulieren.'®® Untermauert werden können die inhaltli- 
chen Anforderungen mit dem Erfordernis des effet utile (praktische Wirksam- 
keit) insbesondere für den Informationsaustausch im CSIRTs-Netzwerk, da hier 
die schnelle und effektive operative Kooperation Zweck des Netzwerks ist und 
das Bedürfnis nach operablen Informationen am stärksten ausgeprägt ist. 

Neben Anforderungen an die Qualität sind solche an die Quantität denkbar. 
Der Kooperationsgrundsatz kann auch zum Schutz vor zu vielen Informationen 
herangezogen werden. Als Sorgfaltspflicht umfasst der Grundsatz, die Aufnah- 
mekapazität des Empfängers zu prüfen.'* Abzustellen wäre hier maßgeblich 
auf die informations- und kommunikationstechnologische Ausstattung der eu- 
ropäischen und mitgliedstaatlichen Stellen. Je dichter der Organisationsgrad der 
Informationskooperation und je besser die Kapazitäten der Sammlung, Struktu- 
rierung und Auswertung von Informationen sind, desto geringer dürfte das 
Schutzbedürfnis sein.'® 

Die Einhaltung dieser Anforderungen ist nicht sanktionsbewehrt. Der Grund- 
satz ist nicht in einem Regime eingebettet, das die Rechtsfolgen der „Schlecht- 
übermittlung“ regelt. Der Verweis auf die Kooperationspflicht könnte freilich 
als verfassungsrechtliches Argument eingesetzt werden und mag so in Informa- 
tionsbeziehungen als Legitimation der Ansprüche an die Qualität dienen. 


2. Rechtliche Sicherung des gegenseitigen Vertrauens 


Gegenseitiges Vertrauen ist eine außerrechtliche Voraussetzung für funktionie- 
rende Informationsaustauschbeziehungen in der NIS-Kooperation (a). Vertrau- 
en kann rechtlich durch Maßnahmen der Erwartungsstabilisierung gefördert 
werden (b). Mit einer gewissen Ungewissheit ist beim Informationsaustausch 
umzugehen (c). 


a) Vertrauen als Gelingensvoraussetzung der NIS-Informationskooperation 


Gegenseitiges Vertrauen ist eine Wirksamkeitsbedingung zur Verwirklichung 
von Regelungen.'®° Eine Ordnung bereitzustellen, die Vertrauen ermöglicht, 


183 Vgl. von Bogdandy, Informationsbeziehungen im europäischen Verwaltungsverbund, 
in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwaltungs- 
rechts, Band II, 2. Aufl. 2012, $ 25 Rn. 26. 
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186 Zum gegenseitigen Vertrauen im Europarecht Majone, Mutual Trust, Credible Com- 
mitments and the Evolution of Rules for a Single European Market, EUI Working Paper 1995; 
vgl. Vesting, Die Medien des Rechts: Schrift, 2011, S. 51; vgl. im Zusammenhang der justizi- 
ellen Zusammenarbeit im Raum der Freiheit, der Sicherheit und des Rechts Kaufhold, EuR 
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kann zu den zentralen Aufgaben des Rechts gezählt werden." Die Mitglied- 
staaten und deren Behörden als Vertrauenssubjekte müssen sich gegenseitig 
vertrauen können, damit Informationsflüsse tatsächlich entstehen. Vertrauen ist 
dann erforderlich, wenn Handlungsausführende oder Systeme mit einer Unwis- 
senheit behaftet sind oder wenn die beteiligten Akteure nur über ein Teilwissen 
verfügen.'®® Wird Vertrauen entgegengebrachtbedeutet dies, dass die am Ge- 
schehen Beteiligten die Erwartung haben, dass sich ein Geschehen auf eine be- 
stimmte Weise entwickelt oder zu einem bestimmten Ergebnis führt.'°? Vertrau- 
en beruht auf Erfahrung und damit auf stabilisierten Erwartungen, also auf 
solchen, die sich bestätigt haben. Insbesondere wenn das Fehlen eigener Exper- 
tise oder einer eigenen Informationsbasis durch das Gegenüber substituiert wer- 
den soll, damit Wissen ressourcenschonend nicht selbst generiert und geprüft 
werden muss, bedarf es des Vertrauens.!?° Misstrauen kann sich nachteilig auf 
die Qualität und Validität der Vertrauensobjekte, die Informationen und die 
Vertraulichkeit des Informationskanals, auswirken. 

Den Aufbau von Vertrauen in der Kooperationsgruppe und im CSIRTs-Netz- 
werk erhebt die NIS-RL ausdrücklich zum Ziel der durch sie festgelegten Maß- 
nahmen (Art. 1 Abs. 2 lit. b und c NIS-RL). 


b) Konkrete Maßnahmen der Erwartungsstabilisierung 


Das Recht kann normative Sicherungsmechanismen bereitstellen, welche die so- 
zialen Funktionen der persönlichen Ebene und der gesellschaftlichen Konventi- 
on institutionalisieren. Es kann sowohl Grund als auch Gegenstand von Vertrau- 
en sein (Vertrauen durch Recht und in Recht).'”! Allgemeine Rechtsgrundsätze 
des Unionsrechts und die allgemein akzeptierten „Standards guter Verwaltungs- 
praxis“ wirken vertrauenssichernd, erzeugen Vertrauen aber nicht unmittel- 
bar.'”? Konkrete Maßnahmen zur Förderung des Vertrauens können nicht darin 
bestehen, Unwissen durch Wissen zu ersetzen, denn Vertrauen ist hier Voraus- 
setzung für die Ingangsetzung des Informationstransfers. Maßnahmen zur Ver- 
trauensbildung sind daher Maßnahmen der Erwartungsstabilisierung. 
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Als Vertrauenssubjekte adressiert die NIS-RL die Mitgliedstaaten. Es sind 
im Einzelnen sowohl Gesetzgeber als auch Amtswalter, die Vertrauen entgegen- 
bringen müssen und die konkrete Beiträge ungeachtet ihrer Qualität akzeptie- 
ren und daran weitere eigene Handlungen anschließen. Konkrete Quellen, aus 
denen sich das Vertrauen in eine verlässliche Umgebung für den Informations- 
austausch speisen kann, sind die zu schaffenden Infrastrukturen, die den Aus- 
tausch von sensiblen und vertraulichen Informationen gewährleisten sollen. 
Dieser Aspekt ist zu berücksichtigen, wenn die Mitgliedstaaten die Pflicht um- 
setzen, „sichere“ Kommunikationskanäle zu schaffen (vgl. Art. 8 Abs. 5 NIS- 
RL). Relevant für den vertrauensvollen Austausch sensibler Informationen ist in 
diesem Zusammenhang der Beschluss des Rates über die Sicherheitsvorschrif- 
ten 2013/488/EU, der die Grundprinzipien und Mindeststandards für die Sicher- 
heit in Bezug auf den Schutz von EU-Verschlusssachen festlegt.” Die Vorga- 
ben gelten für den Rat und dessen Generalsekretariat, werden aber von den 
Mitgliedstaaten nach Maßgabe ihrer jeweiligen innerstaatlichen Vorschriften 
beachtet (Art. 1 Abs.2 Beschluss 2013/488/EU). So sollen alle Seiten darauf 
vertrauen dürfen, dass für die EU-Verschlusssachen ein gleichwertiges Schutz- 
niveau gewährleistet wird. 

Da die NIS-RL keine Sperrwirkung für alternative, informale Informations- 
beziehungen entfaltet, kommt Vertrauensordnungen Bedeutung zu, die im 
Wege der Selbstregulierung entstehen. Relevanz haben vor allem Nichtveröf- 
fentlichungsvereinbarungen (non-disclosure agreements). Zu diesen gehört das 
Ampel-Protokoll (traffic light protocol), bei dem es sich um eine standardisierte 
Vereinbarung zum Austausch von schutzwürdigen Dokumenten handelt, die 
vor allem von CSIRTs angewendet wird.'’* Die Einstufung von Informationen 
anhand einer Farbskala soll den ungewollten Informationsabfluss an Dritte ver- 
hindern. Empfänger von Informationen mit der Klassifizierung „Rot“ dürfen 
nur im Kreise der auf das Protokoll Verpflichteten mit in einer Besprechung 
anwesenden Personen ausgetauscht werden. Rechtliche Verbindlichkeit kommt 
den Protokollen nicht zu. 

Die Bildung von Vertrauen in der NIS-Kooperation wird demnach durch 
konkrete Maßnahmen hinsichtlich der Vertrauensobjekte unmittelbar wie mit- 
telbar durch das Gewähren von Raum für Vertrauensordnungen, die sich im 
Wege der Selbstregulierung bilden, gefördert. 


193 Vgl. Erwägungsgrund 8 NIS-RL. 
194 ENISA, Good Practice Guide, Network Security Information Exchanges, 2009, S. 17. 
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c) Umgang mit Ungewissheit als Gewissheit 


Bezweckt die NIS-Richtlinie den Aufbau von gegenseitigem Vertrauen, impli- 
ziert dies, dass die Mitglieder der Kooperation hinzunehmen haben, dass eine 
Gewissheit über die Qualität der Kooperationsbeiträge oder über das Maß an 
Vertraulichkeit nicht immer besteht. Das Recht kann nicht darüber hinweghel- 
fen, dass gewisse Unwägbarkeiten immer bestehen. Es kann aber Impulse für 
die Vertrauenserzeugung setzen. Der sekundärrechtlich aufgestellte Zweck der 
Vertrauensbildung ist demzufolge zugleich als normativer Appell an die Mit- 
gliedstaaten und ihre Amtswalter zu lesen, die vorgesehenen Kooperationsme- 
chanismen im Hinblick auf den Umgang mit der Ungewissheit zu vollziehen. Als 
Anreiz dafür, Vertrauen aufzubringen und Unsicherheiten hinzunehmen, kön- 
nen die möglichen Folgen fehlenden Vertrauens angeführt werden. Dazu können 
nicht nur Umsetzungs- und Vollzugsdefizite, sondern langfristig eine verstärkte 
Zentralisierung von Rechtssetzung und Rechtsanwendung gehören.'” Die Kom- 
mission müsste im Wege von Durchführungsrechtsakten verstärkt Regelungen 
zur Vereinheitlichung und Harmonisierung schaffen. Die Mitgliedstaaten hätten 
zulasten ihres Spielraums mit erwartungsstabilisierenden, d.h. konkretisieren- 
den Initiativen zu rechnen, die darauf abzielen, ihre Spielräume zu verengen.!” 


3. Primärrechtliche Möglichkeiten der Stärkung des Wissenstransfers 


Das Primärrecht erlaubt der Union, die Mitgliedstaaten in ihren Bemühungen 
zur Verbesserung der Fähigkeit der Verwaltungen zu unterstützen (a). Das Aus- 
kunftsrecht der Kommission nach Art. 337 AEUV ist weitgehend bedeutungs- 
los, da der Kommission für den Bereich der Netz- und Informationssicherheit 
keine Aufgaben vom AEUV übertragen sind (b). 


a) Parallelität der mitgliedstaatlichen Informationsverarbeitung 


Die weitgehend bei den Mitgliedstaaten liegende Vollzugsautonomie erlaubt es 
den Rechtsordnungen, eigene Handlungsrationalitäten weiterzuentwickeln.'?”’ 
Konträr zur mitgliedstaatlichen Fragmentierung steht das Erfordernis einer „ge- 
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wissen Parallelität der Erkenntnisproduktion“ durch gleichförmige Daten- und 
Informationsverarbeitung.!”® Das Konzept des Lernverbunds ist nämlich auf 
eine gewisse Mindestharmonisierung von Problemwahrnehmungs- und Lö- 
sungsstrategien angewiesen.!” 

Das Unionsrecht macht in Art. 6 S. 1 AEUV an prominenter Stelle durch eine 
klare Formulierung deutlich, dass die Union „für die Durchführung von Maß- 
nahmen zur Unterstützung, Koordinierung oder Ergänzung der Maßnahmen 
der Mitgliedstaaten zuständig“ ist. Die Maßnahmen können nach Art. 6 S.2 
lit. g AEUV im Bereich der Verwaltungszusammenarbeit getroffen werden. Der 
Begriff der Durchführung ist dabei weit zu verstehen. Darunter fällt jede durch 
das Unionsrecht veranlasste mitgliedstaatliche Tätigkeit.” Als „Eckpfeiler des 
Verwaltungsverfassungsrechts der EU“! — es ist die einzige Norm des Titels 
„Verwaltungszusammenarbeit“ — macht Art. 197 Abs.1 AEUV integra- 
tionspolitisch deutlich, dass die Durchführung des Unionsrechts im „gemeinsa- 
men“ Interesse von Union und Mitgliedstaaten liegt. Damit bildet Art. 197 
Abs. 1 AEUV ein Gegengewicht zu dem in einem komplementären Verhältnis 
stehenden Art. 291 AEUV, nach dem die administrative Durchführung des Uni- 
onsrechts primär eine mitgliedstaatliche Aufgabe bezeichnet.’ 

Die Union kann gemäß Art. 197 Abs. 2 S. 3 durch eine Verordnung die erfor- 
derlichen Maßnahmen ergreifen, um die Mitgliedstaaten bei der Durchführung 
des Unionsrechts zu unterstützen. Allerdings bildet Art. 197 Abs. 2 AEUV be- 
reits dem Wortlaut nach lediglich eine Unterstützungskompetenz und ist mit 
Blick auf die punktuell anderen Sachbereichen zugeordneten Kompetenzen eng 
auszulegen.’ In seiner Funktion und aufgrund der Systematik bleibt Art. 197 
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Abs. 2 darauf beschränkt, die bestehende Koordinierungsfunktion der Union zu 
thematisieren.?°* Aus der Kompetenz können demzufolge konkrete Kooperati- 
onspflichten nur durch Sekundärrecht begründet werden.?® Art. 197 Abs. 1 
AEUV ist also Interpretationshilfe für die Auslegung etwaiger Pflichten, die 
insofern schonend für die Mitgliedstaaten ausgelegt werden sollen.?° Unmittel- 
bare Informationsbefugnisse auf Unionsebene lassen sich demnach nicht aus 
Art. 197 Abs. 1 AEUV ableiten. 

Wesentliches Potenzial zur Förderung des Wissenstransfers entfaltet Art. 197 
Abs.2 AEUV als Grundlage für Maßnahmen zur Verbesserung der mitglied- 
staatlichen Verwaltungsfähigkeiten. Ausdrücklich sind die Erleichterung des 
Informationsaustausches und der Austausch von Beamten als Unterstützungs- 
maßnahmen genannt. Die Mitgliedstaaten müssen diese Unterstützung nicht 
annehmen (Art. 197 Abs.2 S.3 AEUV). Jedenfalls besteht mit dieser Norm 
eine primärrechtliche Grundlage, den Sender- und Empfängerhorizont beim 
Personal der am Informationsaustausch beteiligten NIS-Stellen durch Ausbil- 
dungsprogramme zu koordinieren und eine harmonisierte Wahrnehmung des 
Kontexts zu schaffen. 


b) Allgemeine Informationsbefugnis der Kommission 


Der Kommission als Vertreterin der Unionsinteressen obliegt es, für die Erfül- 
lung des Unionsrechts Sorge zu tragen. Zur Erfüllung der ihr übertragenen Auf- 
gaben hat die Kommission die Befugnis aus Art. 337 AEUV, „alle erforderli- 
chen Auskünfte“ einzuholen. Art. 337 AEUV hat eine größere Reichweite, als 
die deutsche Formulierung „Auskünfte einholen“ vermuten lässt. In der engli- 
schen (collect any information) und französischen (recueillir toutes informa- 
tion) Fassung wird deutlich, dass die Informationsbeschaffung nicht auf eine 
bestimmte Art und Weise der Informationseinholung beschränkt ist.” Trotz 
ihrer Stellung in den Schlussbestimmungen wird die Informationsbefugnis da- 
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spiel administrativer Informationsverfahren im Europäischen Umweltrecht, 2003, S. 373 ff. 


B. Struktur des Informationsaustausches 257 


her als sedes materiae des unionalen Informationsverwaltungsrechts bezeich- 
net.?°® Die Befugnis wird zum einen als Instrument der Vollzugskontrolle dis- 
kutiert. Zur Kompensation einer fehlenden Weisungsbefugnis gegenüber den 
zuständigen Aufsichtsstellen in den Mitgliedstaaten soll die Kommission, falls 
sie von Umständen Kenntnis erlangt, die auf die Missachtung von Unionsrecht 
in einem Mitgliedstaat schließen lassen, die Befugnis nach Art. 337 AEUV zur 
Vorbereitung eines Vertragsverletzungsverfahrens anwenden.” Sie wird zum 
anderen als Kompetenz diskutiert, auf die akzessorische Regelungen zur Festle- 
gung der an einem Informationssystem zu beteiligenden Verwaltungsstellen, 
die Einrichtung nationaler Datenbanken und die Formulierung von Anforderun- 
gen an die zu übermittelnden Informationen zur unionsweiten Vergleichbarkeit 
gestützt werden können.” 

Das informationsverwaltungsrechtliche Potenzial von Art. 337 AEUV für die 
europäische NIS-Verwaltung ist jedoch gering. Die Kommission kann von die- 
sem Primärrecht nur zur Erfüllung der ihr übertragenen Aufgaben Gebrauch 
machen. Die Aufgabe muss dabei vom AEUV übertragen sein.?!! Da nun die 
Netz- und Informationssicherheit kein eigenständiger Politikbereich im kompe- 
tenzbeschränkenden Sinne des Art. 352 AEUV ist bzw. sich das Recht der euro- 
päischen NIS-Verwaltung im Wesentlichen mit Art. 114 AEUV auf eine zielbe- 
zogene Kompetenz mit Querschnittscharakter stützt und der Kommission keine 
Aufgabe zugewiesen ist, kommt Art. 337 AEUV als Grundlage für eine Stär- 
kung des vertikalen Informationstransfers grundsätzlich nicht in Betracht. Auf 
die im Übrigen strittige Frage, ob die primärrechtliche Befugnis nur soweit 
reicht, wie sekundärrechtlich noch keine Pflicht auf Grundlage des Art. 337 
AEUV festgelegt wurde, kommt es daher nicht an.?'? 

Ungeachtet dessen steht Art. 337 AEUV unter einem Ausführungsvorbehalt. 
Der Rahmen und die nähere Maßgabe der Anwendung der Informationsbefug- 
nis sind durch den Rat festzulegen (Art. 337 2. HS AEUV). Der Rat hat bis dato 
keine Ermächtigung nach dieser Vorschrift erteilt.?' 
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C. Besondere Grenzen des Informationstransfers 


Der freie Informationsfluss genießt keinen immanenten Vorrang vor anderen 
rechtlich geschützten Interessen. Dem freien Informationsaustausch zwischen 
differenzierten Verwaltungseinheiten sind dort Grenzen gesetzt, wo schutzwür- 
dige Belange dies erfordern. Gerade in sensiblen Bereichen hat das Recht dafür 
Sorge zu tragen, dass der Transfer von Informationen und Wissen rechtlich ge- 
staltet ist, da mit dem Wechsel der Sphären die Beherrschbarkeit von Wissen 
beeinträchtigt ist.” Die Weitergabe und Übermittlung von Informationen im 
Rahmen der Kooperation zur Gewährleistung der Sicherheit von Netzen und 
Informationssystemen können insbesondere durch den Datenschutz (1.), den 
Schutz unternehmensbezogener Daten (II.) durch die organisationsrechtliche 
Ausgestaltung von NIS-Behörden (IIl.) oder das Auskunftsverweigerungsrecht 
der Mitgliedstaaten (IV.) begrenzt sein. 


I. Grenzen des Informationstransfers durch den Datenschutz 


Das europäische Verfassungsrecht macht in Art. 39 EUV und 16 Abs. 2 AEUV 
deutlich, dass neben dem Schutz natürlicher Personen der „freie Datenverkehr“ 
ein zu schützendes Gut ist. In der Diskussion um den Datenschutz wird häufig 
übersehen, dass der freie Informationsfluss ein Ziel für sich ist, das der Daten- 
schutz nicht unangemessen einschränken darf:?'5 „Das Recht auf Schutz perso- 
nenbezogener Daten [...] muss im Hinblick auf seine gesellschaftliche Funktion 
gesehen [...] werden.“?!° Anders gewendet kann das Datenschutzrecht als Da- 
tenverkehrsrecht verstanden werden, das aber „nicht der Abschottung von In- 
formationen“ dient.” 

Die Übermittlung personenbezogener Daten ist gleichwohl rechtfertigungs- 
bedürftig, da die Übermittlung ein Akt der datenschutzrechtlichen Datenver- 
arbeitung ist (vgl. Art. 4 Nr. 2 DS-GVO).?'® Eine Übermittlung im datenschutz- 
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rechtlichen Sinne ist das Bekanntgeben gespeicherter oder durch Datenverar- 
beitung gewonnener personenbezogener Daten an einen Dritten in der Weise, 
dass die Daten an den Dritten weitergegeben werden oder der Dritte Gelegen- 
heit zur Einsicht oder zum Abruf bereitgehaltener Daten erhält. Das angewen- 
dete Verfahren ist für dieses Verständnis nicht von Belang.?'? Von entscheiden- 
der Bedeutung ist, dass die Kenntnis über den Inhalt der Daten vermittelt wird; 
eine Übertragung physischen Besitzes am Datenträger ist nicht erforderlich.” 
Der Europäische Gerichtshof hat, ohne dies näher zu begründen und ohne 
weiter innerhalb der Datenschutzrechte zu differenzieren, die Weitergabe an 
einen Dritten, auch an eine andere Behörde, unabhängig von der späteren Ver- 
wendung als Beeinträchtigung betrachtet.?”! Eine Beeinträchtigung des Grund- 
rechts auf Achtung des Privatlebens (Art. 7 GRCh) sei unabhängig davon gege- 
ben, ob die betreffenden Informationen einen sensiblen Charakter haben oder 
ob die Betroffenen durch den Eingriff Nachteile erlitten haben könnten.” Glei- 
ches gelte für die Beeinträchtigung des Datenschutzgrundrechts (Art. 8 GRCh). 
Eine Beeinträchtigung umfasse jeden Verarbeitungsvorgang.?” Die Eingriffs- 
qualität hängt nach teilweise vertretener Auffassung auch nicht von einer 
Zweckidentität ab, d.h., in ein Grundrecht werde ungeachtet dessen eingriffen, 
ob bei der empfangenden Stelle die Daten zum ursprünglichen Verwendungs- 
zweck verarbeitet werden.”* Die Effektivität des Informationsaustausches ist 
damit grundsätzlich auf Rechtfertigungsebene zur Geltung zu bringen. ””° 
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Der Transfer personenbezogener Daten in der NIS-Kooperation kann sich auf 
allgemeine (1.) und fachgesetzliche Übermittlungsvorschriften stützen (2.). Die 
Übermittlung wird vor allem durch die besondere Zweckbindung bei Melde- 
daten begrenzt (3.). 


1. Übermittlung nach Maßgabe des allgemeinen Datenschutzrechts 


Die Datenverarbeitung gemäß der NIS-Richtlinie erfolgt nach Maßgabe der 
DS-GVO (Art. 2 NIS-RL in Verbindung mit Art. 94 Abs. 2 DS-GVO). Die Ver- 
arbeitung übermittelter personenbezogener Daten durch die Organe und Ein- 
richtungen der Union erfolgt gemäß Art.2 Abs.2 NIS-RL nach Maßgabe der 
Verordnung (EG) Nr. 45/2001. Diese Verordnung und sonstige Rechtsakte der 
Union, die diese Verarbeitung personenbezogener Daten regeln, werden gemäß 
Art.2 Abs.3 S.2 DS-GVO im Einklang mit Art. 98 DS-GVO an die Grund- 
sätze und Vorschriften der vorliegenden Verordnung angepasst. 


2. Übermittlung im Rahmen der Aufklärung von Cybergefahren zum Schutz 
kritischer Infrastrukturen 


Fachgesetzliche Übermittlungsvorschriften bestehen für die Nachrichten- 
dienste. Personenbezogene Daten dürfen vom Bundesamt für Verfassungs- 
schutz zum Schutz kritischer Infrastrukturen an die NIS-Behörden übermittelt 
werden (a). Der Bundesnachrichtendienst darf die im Rahmen der strategischen 
Aufklärung gewonnenen Daten an das BSI übermitteln (b). Sondervorschriften 
für die Übermittlung von personenbezogenen Daten bestehen für die im Rah- 
men der Ausland-Ausland-Fernmeldeaufklärung generierten Informationen (c). 


a) Übermittlung von Daten durch das Bundesamt für Verfassungsschutz 


Die Übermittlung personenbezogener Daten durch das Bundesamt für Verfas- 
sungsschutz an nicht zum Verfassungsschutz gehörende Behörden regelt $ 19 
BVerfSchG. Das Bundesamt darf in drei Fällen Daten sowohl auf Ersuchen als 
auch nach dem Opportunitätsprinzip aus eigener Initiative an inländische Stel- 
len übermitteln. Zulässig ist die Übermittlung zur eigenen Aufgabenerfüllung, 
ferner sofern der Empfänger die Daten zum Schutz der freiheitlich-demokrati- 
schen Grundordnung braucht und sofern der Empfänger die Daten sonst für 
Zwecke der öffentlichen Sicherheit im Rahmen der rechtlichen Aufgaben benö- 
tigt. Der Begriff der öffentlichen Sicherheit umfasst den Schutz aller Normen, 
die präventiv und repressiv zum Schutz des Staates, seiner Einrichtungen und 
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seiner Rechtsordnung gesetzt worden sind.” Für letztere Variante ergibt sich 
somit ein Nexus zum Schutz der kritischen Infrastrukturen. Ihnen kommt ge- 
mäß $2 Abs. 10 Nr.2 BSIG eine hohe Bedeutung für das Funktionieren des 
Gemeinwesens zu, weil Störungen zu Gefährdungen für die öffentliche Sicher- 
heit führen könnten. Demzufolge darf das Bundesamt Daten an Stellen über- 
mitteln, die für andere als die in $3 Abs. 1 Nr. 1 bis 4 BVerfSchG genannten 
Zwecke benötigt werden. Auch wenn die Empfängerbehörde einen Aufgaben- 
kreis hat, der weiter als der angegebene Zweck ist, ist sie an den konkreten 
Verwendungszweck gebunden.” In der präventiven Abwehr noch nicht kon- 
kreter Gefahren kommt vor allem eine Übermittlung an das BSI in Betracht. 


b) Übermittlung der im Rahmen der Fernmeldeaufklärung von Cybergefahren 
gewonnenen Daten 


Für den Bundesnachrichtendienst besteht mit § 9 BNDG eine nach $ 19 Abs. 1 
BVerfSchG entsprechende Rechtsgrundlage zur Datenübermittlung. Spezielle 
Übermittlungsbefugnisse finden sich für die im Rahmen der strategischen Fern- 
meldeaufklärung von Cybergefahren gewonnenen Daten. 

Die nach § 5 Abs. 1 S. 1 in Verbindung mit § 5 Abs. 1 S. 3 Nr. 8 G10 erhobe- 
nen Daten dürfen nach $ 7 Abs. 4a G10 vom BND unter besonderen Vorausset- 
zungen an das BSI übermittelt werden. Die Daten müssen entweder erforderlich 
sein, um Gefahren für die Sicherheit in der Informationstechnik des Bundes 
abzuwehren, oder der Aufgabenerfüllung des BSI dienen, d.h. der Sammlung 
und Auswertung von Informationen über Sicherheitsrisiken für andere Stellen 
und Dritte. Die Übermittlung von Erkenntnissen über die Netz- und Informa- 
tionssicherheit wird der Aufgabe des BSI als zentrale Meldestelle und Informa- 
tionsmittler in diesem Bereich gerecht und entspricht dem Ansatz, für die Auf- 
gaben des BSI eine möglichst große Datenbasis aufzubauen. Gleichsam sollen 
alle Akteure über die aktuelle Cybergefährdungslage informiert werden””® Es 
müssen aber tatsächliche Anhaltspunkte dafür bestehen, dass die Daten für die 
Aufgaben dieser Behörden zur Sammlung und Auswertung von Informationen 
über Cybergefahren sowie zur Begegnung dieser Gefahren erforderlich sind. 
Die Hürde ist im systematischen Vergleich mit der Voraussetzung für die Über- 
mittlung an andere Nachrichtendienste bei sicherheitsgefährdenden oder ge- 
heimdienstlichen Tätigkeiten niedriger ($ 7 Abs. 2 Nr. 2 G10 „bestimmte Tatsa- 
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chen“). Der Hintergrund ist darin zu sehen, dass aus Sicht des Gesetzgebers 
durch die Übermittlung keine Zweckänderung eintritt, das BSI also ohnehin 
beauftragt ist, Cyberangriffe zu erkennen, die auch sicherheitsgefährdende oder 
geheimdienstliche Tätigkeiten für eine fremde Macht darstellen können. An- 
dernfalls bedarf es für die Übermittlung „bestimmter Tatsachen“, wie für die 
Übermittlung an das Bundesamt für Verfassungsschutz, da dort das Gesetz im- 
pliziert, dass die strategische Fernmeldeaufklärung grundsätzlich nicht der 
Aufklärung sicherheitsgefährdender oder geheimdienstlicher Tätigkeiten dient 
und deshalb die Übermittlung eine Zweckänderung darstellt. 

Eine spezielle Übermittlung der Daten aus der SIGINT-Support-to-Cyber- 
Defense-(SSCD-)Strategie des BND an ausländische Stellen besteht mit $ 7a 
G10. Der Gesetzgeber erkennt ausdrücklich an, dass „Cybergefahren [...] Ge- 
fahren im internationalen Raum sind“ und die Bundesrepublik „aufgrund der 
Komplexität und der internationalen Durchdringung Cyberbedrohungen nicht 
allein“ entgegengetreten kann.””” Die im Rahmen der strategischen Fernmelde- 
aufklärung gewonnenen Daten dürfen an ausländische Stellen übermittelt wer- 
den. Aus $ 7a Abs. 1 S. 1 Nr. 3 G10 ergibt sich aber, dass es sich dabei um einen 
Austausch handelt. Das Prinzip der Gegenseitigkeit gehört zur Rechtsmäßig- 
keitsvoraussetzung der Datenübermittlung. Nur Staaten, die ihrerseits an ihren 
Erkenntnissen teilhaben lassen, sollen für einen Informationsaustausch in Be- 
tracht kommen.” Die Zusammenarbeit und das Zusammenlegen von Erkennt- 
nissen im internationalen Verbund stellen das Kernelement der Strategie dar, 
die Systematik einer Schadsoftware zu erkennen.”! Die Einhaltung des Gegen- 
seitigkeitsprinzips muss mindestens mit einer bilateralen Verwaltungsvereinba- 
rung verfestigt sein.” Als weiteres empfängerbezogenes Kriterium gilt, dass 
die Empfängerbehörde mit „nachrichtendienstlichen Aufgaben“ betraut sein 
muss. Im europäischen Kontext kann keine so trennscharfe Unterscheidung 
zwischen Geheim- bzw. Nachrichtendienst und Polizei vorgenommen werden 
wie in Deutschland.” Insofern kann die Empfängerbehörde eine Stelle sein, die 
nach deutschem Verständnis nicht für eine Datenübermittlung des BND infrage 
kommt. Aufgefangen werden kann diese mögliche Friktion durch eine Zweck- 
bindung der Daten. $ 7a Abs. 4 G10 soll die Nachkontrolle einer Übermittlung 
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ermöglichen. Allerdings ist die Folge einer Verletzung nur dadurch zu ahnden, 
dass zukünftig kein Austausch mehr stattfindet.?°* Wegen der hohen Anforde- 
rungen und der Zustimmungsbedürftigkeit kann ohnehin nur eine Übermitt- 
lung im Einzelfall angezeigt sein. Da $ 7a Abs. 1 S. 1 Nr. 1 G10 auch die erheb- 
lichen Sicherheitsinteressen ausländischer Staaten erfasst, kann eine Übermitt- 
lung vereinzelt aber auch geboten sein. 

Eine Übermittlung der Daten des BND innerhalb der Struktur der europäi- 
schen NIS-Kooperation kommt nicht in Betracht, sofern das BSI die Daten über 
8 7 Abs. 4a G10 vom BND erlangt und die Erkenntnisse selbst über das BSI als 
zuständige Stelle für die grenzüberschreitende Zusammenarbeit in die NIS-Ko- 
operation einfließen. Ausgeschlossen ist eine Übermittlung unter den Voraus- 
setzungen des $ 7a G10 jedoch nicht unter dem Aspekt, dass an der europäi- 
schen NIS-Kooperation keine polizeilichen Stellen direkt beteiligt sind. Als 
nachrichtendienstliche Plattform für einen Austausch kommt daher das EU 
INTCEN (EU-Intelligence and Situation Centre) infrage.” 


c) Übermittlung der im Rahmen der Ausland-Ausland-Fernmeldeaufklärung 
gewonnenen Daten 


Mit dem 2017 in Kraft getretenen §§ 13 bis 15 BNDG wird erstmals die Koope- 
ration des Bundesnachrichtendienstes im Rahmen der Ausland-Ausland-Fern- 
meldeaufklärung mit ausländischen Stellen, die ebenfalls nachrichtendienstli- 
che Aufgaben wahrnehmen, geregelt. Nach $ 13 Abs. 1 BNDG dürfen im Rah- 
men der Kooperation Informationen einschließlich personenbezogener Daten 
nach § 14 erhoben und nach $ 15 ausgetauscht werden. Eine solche Kooperation 
ist gemäß $ 13 Abs. 2 BNDG zulässig, wenn sie den Zielen des $ 6 Abs. 1 Nr. 1 
bis 3 BNDG dient und die Erfüllung der Aufgaben durch den Bundesnachrich- 
tendienst ohne eine solche Kooperation wesentlich erschwert oder unmöglich 
wäre. Da § 6 BNDG zur Erkennung von besonderen Cybergefahren dient, ist 
eine Informationskooperation zur Gewährleistung einer höheren Internetsicher- 
heit auf Grundlage von $ 13 Abs. 4 Nr. 7 BNDG denkbar.” Auf europäischer 
Ebene kommt auch hier das EU Intelligence and Situation Centre für eine Ko- 
operation in Betracht.”?’ Rechtlich neuartig und vorbildlich sind die Anforde- 
rungen an die schriftliche Fixierung einer solchen Kooperation.?°® Vor Beginn 
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der Kooperation sind Kooperationsziele und -inhalte, Kooperationsdauer, 
Zweckbindung und Löschpflichten in einer Absichtserklärung niederzulegen 
($ 13 Abs.3 BNDG). Wenn die Kooperation mit ausländischen öffentlichen 
Stellen von Mitgliedstaaten der EU erfolgt, bedarf es der Absichtserklärung des 
Bundeskanzleramtes. 

Nach $ 26 Abs. 1 BNDG kann der Bundenachrichtendienst zum Zwecke des 
Austausches und der gemeinsamen Auswertung von nachrichtendienstlichen 
Informationen und Erkenntnissen mit ausländischen öffentlichen Stellen ge- 
meinsame Dateien führen ($ 27 BNDG) oder sich an diesen beteiligen ($ 27 
BNDG). Die jeweilige Datei muss sich nach $ 28 Abs. 1 S.2 BNDG auf be- 
stimmte Gefahrenlagen oder bestimmte Personenkreise beziehen, die nicht den 
in § 5 Abs. 1 S.3 G10 benannten Gefahrenbereichen entsprechen müssen, son- 
dern durchaus weiter gefasst sein dürfen.” Es sind aber auch Cybergefahren 
erfasst. Die näheren Voraussetzungen sind in $ 26 und $ 30 BNDG genannt. 


3. Besondere Zweckbindung für die Meldedaten beim BSI 


Informationssysteme haben die immanente Grundtendenz, mit anderen Daten- 
beständen verknüpft oder in andere Informationssysteme integriert zu werden 
— mit dem Ziel der Bildung einer Datenbank höherer Ordnung mit potenziell 
neuem Informationsgehalt für einen erweiterten Kreis von Akteuren mit neuen 
Verwendungskontexten.”* Der datenschutzrechtliche Grundsatz der Zweckbin- 
dung soll diese Tendenz begrenzen. Eine Norm, die den allgemeinen Austausch 
personenbezogener Daten aller Sicherheitsbehörden und den Abbau jeglicher 
Informationsgrenzen zwischen den Behörden erstrebt, unterläuft das Bestimmt- 
heitsgebot und den Grundsatz der Zweckbindung und wäre von vorneherein 
verfassungswidrig.”*' 

Der Grundsatz der Zweckbindung gilt allerdings nicht absolut, es bestehen 
Abstufungen und Grenzen. Schon früh wurde darauf hingewiesen, dass der In- 
halt der Zweckbindung nicht darin besteht, die Datenverarbeitung absolut an 
einen Zweck zu binden.” Eine Lockerung der Zweckbindung ist weder verfas- 
sungsrechtlich noch datenschutzrechtlich ausgeschlossen.”* Die für bestimmte 
Zwecke erhobenen personenbezogenen Daten dürfen für andere als die ur- 
sprünglich festgelegten Zwecke verarbeitet werden, sofern diese nicht unverein- 
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241 BVerfGE 133, 277 = NJW 2013, 1499, Rn. 106. 

242 Schneider, NIW 1984, 390 (397). 

28 BVerfGE 120, 351 = NJW 2008, 2099 Rn. 82; Härting, NIW 2015, 3284 (3287); vgl. 
aber Heckmann, in: Taeger/Gabel (Hrsg.), BDSG, 2. Aufl. 2013, BDSG, $ 14 Rn. 22. 
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bar sind. Das entscheidende Kriterium für eine Weiterverarbeitung ist nach 
Art. 6 Abs. 4 DS-GVO die Kompatibilität. Die ursprünglichen und die neuen 
Verarbeitungszwecke dürfen nicht unvereinbar und müssen kompatibel sein 
(vgl. Art. 5 Abs. 1 lit. b DS-GVO). Eine weitere Verarbeitung vorhandener Da- 
ten ist unter den in Art. 6 Abs. 4 DS-GVO aufgeführten Konstellationen statt- 
haft. Neben der Einwilligung des Betroffenen als Grundlage für eine Weiterver- 
arbeitung kommen eine Rechtsnorm der Union oder eines Mitgliedstaates, die 
einem der zehn in Art. 23 Abs. 1 DS-GVO genannten Ziele dient, in Betracht. 
Zu den genannten Zielen gehört die öffentliche Sicherheit. 

Die Begrenzung der Übermittlung personenbezogener Daten ergibt sich so- 
mit aus der Zweckfestlegung nach Art. 5 lit. b DS-GVO. Für eine enge Zweck- 
bindung bedarf es daher einer besonderen Regelung. 

Eine solche spezialgesetzliche Zweckbindung stellt § 8b Abs. 7 BSIG dar.” 
Soweit im Rahmen von $ 8b BSIG personenbezogene Daten erhoben, verarbei- 
tet oder genutzt werden, „ist eine über die vorstehenden Absätze hinausgehende 
Verarbeitung und Nutzung zu anderen Zwecken unzulässig“ ($ 8b Abs. 7 BSIG). 

Sachlich bezieht sich die Zweckbindung vorrangig auf die Daten, die über die 
Meldepflichten von Betreibern kritischer Infrastrukturen generiert werden ($ 8b 
Abs. 4 BSIG), da eine weitere Form der Datenerhebung von der Vorschrift nicht 
vorgesehen ist. Darüber hinaus bewirkt die Zweckbindungsklausel die Begren- 
zung der Datenverarbeitung auf die in $ 8b Abs. 2 BSIG beschriebenen Zwecke. 
Die Aufgaben sind allerdings denkbar weit gefasst (vgl. etwa in § 8b Abs. 2 Nr. 1 
BSIG die Formulierung „die für die Abwehr von Gefahren für die Sicherheit in 
der Informationstechnik wesentlichen Informationen zu sammeln und auszu- 
werten“). Da $ 8b Abs. 2 Nr. 4 BSIG die Unterrichtung der Betreiber kritischer 
Infrastrukturen und der zuständigen Aufsichtsbehörden regelt, umfasst die 
Zweckbindung nicht die Übermittlung personenbezogener Daten generell. Die 
Übermittlung als solche wird auch nicht über die Rechtsfolgenverweisung in 
§ 8b Abs. 7 S. 2 BSIG verboten. Durch die Verweisung finden die Vorschriften 
zum Umgang mit Daten des Kernbereichs privater Lebensgestaltung nach § 5 
Abs. 7 S. 3 bis 8 BSIG Anwendung. Insbesondere gilt damit das Beweisverwer- 
tungsverbot für Inhalte und Umstände der Kommunikation von Personen, de- 
nen nach § 53 Abs. 1 S.1 StPO ein Zeugnisverweigerungsrecht zusteht. Ein 
allgemeines Verbot der Weitergabe folgt daraus nicht.?* 

Fraglich ist indes, ob die Zweckbindung die Übermittlung von Daten an eu- 
ropäische Stellen der NIS-Kooperation betrifft. Eine unzulässige, da „über die 


244 Vgl. auch $ 88 Abs. 3 S.3 TKG. 
245 Vgl. Buchberger, in: Schenke/Graulich/Ruthig (Hrsg.), Sicherheitsrecht des Bundes, 
BSIG, § 5 Rn. 41. 
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vorstehenden Absätze [des $ 8b BSIG] hinausgehende Verarbeitung und Nut- 
zung“ könnte im Falle der grenzüberschreitenden Übermittlung angenommen 
werden, weil der Wortlaut in $ 8b Abs. 2 Nr. 4 b) und c) lediglich auf Behörden 
des Bundes und der Länder verweist. Der Austausch personenbezogener Daten 
zur Erfüllung der Pflicht, im Falle von Sicherheitsvorfällen etwaigig betroffene 
andere Mitgliedstaaten zu unterrichten und Daten zur möglichen Abhilfe zu 
übermitteln (vgl. Art. 14 Abs. 5 NIS-RL bzw. Art. 16 Abs. 6 NIS-RL), steht mit 
diesem Verständnis der Zweckbindung im Konflikt. 

Eine Lesart der Vorschrift, die auf den eigentlichen Zweck der Datenverar- 
beitung abstellt, steht einer grenzüberschreitenden Übermittlung dagegen nicht 
grundsätzlich entgegen. Betont man die Zweckbindung so, dass es darauf an- 
kommt, dass nur die „über die vorstehenden Absätze hinausgehende Verarbei- 
tung [...] zu anderen Zwecken‘”* unzulässig ist, hängt die Zulässigkeit der 
Übermittlung lediglich davon ab, dass die Daten beim Empfänger zu Zwecken 
verarbeitet werden, die mit denen in $ 8b BSIG kongruent sind. Das BSI müsste 
dann im Falle einer Übermittlung sicherstellen, dass sie ausschließlich zur Ab- 
wehr von Gefahren für die Informationstechnik, zur Analyse der Auswirkun- 
gen eines Sicherheitsrisikos für die Verfügbarkeit der kritischen Infrastrukturen 
sowie zur Unterrichtung von Infrastrukturbetreibern, damit diese sich schützen 
können, verarbeitet und genutzt werden. 


II. Grenzen des Informationstransfers durch den Schutz 
unternehmensbezogener Daten 


Der Schutz vertraulicher, sensibler und sicherheitskritischer unternehmensbe- 
zogener Daten erfordert von den Behörden eine akribische Prüfung des Ge- 
heimnisschutzrechts, die sich auf den europäischen Informationsverkehr hem- 
mend auswirken kann. 

Im europäischen Verwaltungsverfahrensrecht fehlt es an einer ausdrückli- 
chen Regelung des Geheimhaltungsanspruchs. Als ungeschriebener Grundsatz 
des europäischen Verwaltungsverfahrensrechts ist er gleichwohl anerkannt.” 
Der Schutz unternehmensbezogener Daten in europäischen Informationssyste- 
men ist im Allgemeinen dennoch weit weniger ausdifferenziert als das Daten- 
schutzrecht.”*® Die bestehenden Schutzstrukturen ähneln nicht den aus dem 


246 Hervorhebung des Verfassers. 

247 Hermann, in: Bader/Ronellenfitsch (Hrsg.), BeckOK VwVfG, 30. Ed. 2016, § 30 Rn. 2; 
EuGH, C-450/06, Rn. 46; vgl. auch Art. 339 AEUV und Art. 42 Abs. 2 2. Spiegelstrich GRCh. 

248 Der Entwurf der Kommission einer Richtlinie zum Schutz vertraulichen Know-hows 
und vertraulicher Geschäftsinformationen (Geschäftsgeheimnis) vor rechtwidrigem Erwerb 
sowie rechtswidriger Nutzung und Offenlegung, COM(2013) 813 final, zeigt, dass ein diffe- 
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Datenschutzrecht bekannten Regelungstechniken. Das Schutzregime zeichnet 
sich vielfach nur durch punktuelle Bestimmungen aus.” 

Der § 30 VwVfG, der Verwaltungsgeheimnisse schützt, stimmt mit europäi- 
schem Recht überein und ist auch „in Ansehung von Europarecht voll anwend- 
bar“. 25° 

Das deutsche Geheimnisschutzrecht legt unabhängig von der Frage, ob Ge- 
schäftsgeheimnisse grundrechtlich dem Grundrecht auf Eigentum oder dem 
Grundrecht auf Berufsfreiheit zuzuordnen sind,”°' nahe, dass Geheimnisse auch 
in bipolaren öffentlichen Informationsbeziehungen zu schützen sind. So darf die 
um Amtshilfe ersuchte Behörde eine Auskunft nach $ 5 Abs. 2 S. 2 VwVfG ver- 
weigern, wenn die Information nach dem Gesetz oder ihrem Wesen nach geheim 
gehalten werden muss.””” Der Offenbarungsbegriff im Verwaltungsgeheimnis 
($ 30 VwVfG) legt diese Wertung ebenfalls nahe. Als Offenbarung kann die 
Mitteilung bzw. die Bekanntmachung des Geheimnisses an einen Dritten, der 
das Geheimnis zuvor nicht kannte, verstanden werden.” Von diesem Verständ- 
nis ausgehend liegt eine Mitteilung unabhängig davon vor, ob das Geheimnis mit 
einem Privaten oder einer öffentlichen Stelle ausgetauscht wurde.”°* 

Das Offenbaren von Unternehmensgeheimnissen setzt demnach grundsätz- 
lich eine Befugnis voraus, die Geheimhaltungspflicht ist nur dann verletzt, 
wenn das Geheimnis unbefugt offenbart wird. Die Befugnis kann aufgrund der 
Zustimmung des betroffenen Unternehmens gegeben sein, aus einer gesetzli- 
chen Offenbarungsbefugnis oder aus dem Ergebnis einer Güterabwägung fol- 
gen,” nach dem zur Wahrung höherrangiger Rechtsgüter der Allgemeinheit 
oder Einzelner die Offenbarung erforderlich ist.”°° 


renzierterer und harmonisierter Schutz unternehmensbezogener Daten angestrebt ist. Die im 
Entstehen begriffene Kohärenz bezieht sich aber auf Maßnahmen, Verfahren und Rechtsbe- 
helfe, die für einen zivilrechtlichen Schutz erforderlich sind (vgl. Art. 5). 
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Zu untersuchen ist daher, welche abwägungsleitenden Anforderungen die für 
den Informationsaustauch maßgebliche NIS-RL für den Vertraulichkeitsschutz 
vorgibt (1.) und ob besondere Schutzvorkehrungen auf nationaler Ebene den 
Informationsverkehr hemmen können (2.). 


1. Anforderungen an den Austausch vertraulicher Informationen 


Eine generalklauselartige Vertraulichkeitsregelung stellt Art. 1 Abs. 5 NIS-RL 
dar. Die Vorschrift beantwortet die Frage, unter welchen Voraussetzungen ver- 
trauliche Informationen mit der Kommission und den zuständigen NIS-Behör- 
den ausgetauscht werden dürfen. Die Voraussetzungen des Vertraulichkeits- 
schutzes benennt die Norm nicht. Sie verweist dafür auf Vorschriften der Union 
und der Mitgliedstaaten, ohne diese zumindest für die Union näher zu benen- 
nen. Durch diese Regelungstechnik bleibt es den Mitgliedstaaten überlassen, zu 
bestimmen, wann eine Information auf welchem Schutzniveau vertraulich zu 
behandeln ist. Das Schutzniveau kann dadurch insgesamt nicht unerheblich va- 
riieren. Eine solche Regelungstechnik muss die Kooperationseffizienz jedoch 
nicht notwendig begrenzen, wenn Unstimmigkeiten unter den Mitgliedstaaten 
über den Vertraulichkeitsmaßstab begrenzt bleiben.” Eine gewisse Kohärenz 
im Schutzniveau wird dadurch gesichert, dass kumulativ die Information nach 
Vorschriften des Unionsrechts als vertraulich geschützt sein muss („und“). 

Aus Art. 1 Abs. 5 S. 1 NIS-RL ergibt sich, dass die Erforderlichkeit das maß- 
gebliche Kriterium der Abwägung ist. Vertrauliche Informationen werden mit 
der Kommission und den mitgliedstaatlichen NIS-Behörden „nur ausgetauscht, 
wenn dieser Austausch für die Anwendung dieser Richtlinie erforderlich ist. 
Die auszutauschenden Informationen werden auf das beschränkt, was für das 
verfolgte Ziel relevant und angemessen ist.“ 

Die in dieser Regelungstechnik liegende Anforderung führt regelmäßig zu 
einem strikteren Informationsaustausch. Im Rahmen mitgliedstaatlicher Infor- 
mationshilfe führt das Tatbestandsmerkmal „erforderlich“ zunächst dazu, dass 
aus Sicht des um eine Auskunft ersuchenden Mitgliedstaats eine ernstliche 
Möglichkeit bestehen muss, dass der andere Mitgliedstaat im Besitz der Kennt- 
nis ist. Der Blick auf die Auslegung dieses Kriteriums im steuerrechtlichen In- 
formationsaustausch zeigt, dass zusätzliche Anforderungen abgeleitet werden 
können. Erforderlich ist dort ein Auskunftsersuchen erst dann, wenn die Infor- 
mation vom ersuchenden Staat auch nach Ausschöpfung aller eigener Aus- 
kunftsquellen nicht erreichbar ist. Die Auskunftserteilung ist nicht schon dann 
legitimiert, wenn das entsprechende Ersuchen aus Sicht des ersuchenden Staa- 
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tes effektiver oder einfacher ist als innerstaatliche Mittel.?°® Ein Austausch von 
Informationen auf Grund von Anfragen „ins Blaue hinein“ bzw. durch „fishing 
expeditions“ scheidet regelmäßig aus.” 

Daneben hat der Umfang der ausgetauschten Informationen für das verfolgte 
Ziel relevant und angemessen zu sein. Der Austausch von Unternehmensge- 
heimnissen wird damit unter die Zielvorgabe der Datenvermeidung und der 
Sparsamkeit gestellt. 

Das CSIRTs-Netzwerk ist bereits im Ausgangspunkt darauf angelegt, scho- 
nend mit vertraulichen Informationen umzugehen. Der Informationsaustausch 
über Sicherheitsvorfälle bezweckt nur den Austausch von „wirtschaftlich nicht 
sensiblen“ bzw. „nicht vertraulichen“ Informationen (Art. 12 Abs. 3 lit. b und c 
NIS-RL). Die Schwelle der Erforderlichkeit eines Austausches schutzbedürf- 
tiger Informationen besteht für die antragsbasierte Informationshilfe nicht. Der 
antragsgebundene Austausch vertraulicher, sicherheitskritischer bzw. wirt- 
schaftlich vorteilhafter Informationen wird von vorneherein unterbunden. 

Die jährlichen Berichte über Meldepflichten sollen die Vertraulichkeit der 
Meldungen und Infrastrukturbetreiber wie Diensteanbieter wahren, indem die- 
se möglichst zu anonymisieren sind.°° Letztlich liegt im so vorgesehen Ver- 
traulichkeitsschutz und Identitätsschutz ein Anreizmechanismus für die Unter- 
nehmen, die Meldepflicht tatsächlich zu erfüllen. Sie müssen nicht befürchten, 
Gegenstand einer Fallbesprechung zu sein. 

Eine Skalierung des Schutzes von Unternehmensgeheimnissen besteht für 
Sicherheitslücken. Neben der Stufe der einfachen Vertraulichkeit besteht die der 
strengen Vertraulichkeit. Streng vertraulich zu behandeln sind insbesondere die 
über die Meldepflicht gemeldeten Informationen, wenn sie die Anfälligkeit von 
Produkten betreffen und Abhilfen gegen Sicherheitsschwachstellen noch nicht 
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259 Siehe FG Köln, Beschl. v. 7.9.2015 — 2 V 1375/15, IStR 2015, 835 (m. Anm. Scholz), 
Rn. 79ff. Das Gericht hatte den weitreichenden Austausch von Steuerdaten durch das Bun- 
deszentralamt für Steuern zur Bekämpfung des sog. „Base-Erosion and Profit Shifting“ 
(BEPS) untersagt, weil der Informationsaustausch gegen das Steuergeheimnis aus $ 30 AO 
verstoße. Der internationale Informationsaustausch zielte nicht auf die konkrete Besteuerung 
eines Unternehmens, sondern auf das Aufdecken von Besteuerungslücken und auf die Klä- 
rung der Frage, worin die gesetzlichen Ursachen der niedrigen effektiven Steuerbelastung 
bestünden, um durch Gesetzesänderungen Abhilfe schaffen zu können. Der Informations- 
austausch war auch nicht im Wege der Amtshilfe nach $ 30 Abs. 4 Nr. 2 AO und nicht aus 
§ 117 Abs. 2 AO in Verbindung mit dem EU-Amtshilfegesetz rechtmäßig. Das Tatbestands- 
merkmal der „voraussichtlichen Erheblichkeit‘“ solle zwar einen größtmöglichen Informa- 
tionsaustausch ermöglichen. Nicht gestattet seien aber Beweisausforschungen („Fishing Ex- 
peditions“). 

260 Erwägungsgrund 32 NIS-RL. 


270 $4 Transfer von Informationen im Rahmen der europäischen Zusammenarbeit 


veröffentlich sind.”°! Diese Vorgabe, die formell keine Bindungswirkung hat, 
betrifft sowohl das Verfahren des Informationsaustausches als auch die nach 
außen gerichtete Informationsdistribution.’” 


2. Besondere Begrenzungen 


Die Zulässigkeit des Austauschs vertraulicher und sensibler Informationen ist 
grundsätzlich davon abhängig, ob der Austausch für die Anwendung der NIS- 
RL erforderlich ist. Besondere Begrenzungen ergeben sich für die ENISA (a) 
und die deutschen NIS-Behörden (b). 


a) Begrenzungen der ENISA und allgemeine unionsrechtliche 
Geheimhaltungspflicht 


Eine spezielle Vertraulichkeitsregelung besteht für die ENISA. Die Agentur 
gibt die eingehenden und verarbeiteten Informationen nicht an Dritte weiter, 
wenn sie auf begründetes Ersuchen ganz oder teilweise als vertraulich behan- 
delt werden sollen (Art. 17 Abs. 1 VO [EU] Nr. 526/2013). Die Weitergabe ist 
durch das Erfordernis eines qualifizierten Ersuchens folglich nicht schon im 
Ausgangsmodus beschränkt. Die Vertraulichkeitsregelung betrifft aber auch die 
Weitergabe im Rahmen der NIS-Kooperation und nicht etwa nur die Weitergabe 
auf Informationsanfrage seitens der Öffentlichkeit. Als Dritte können alle Per- 
sonen oder Stellen außerhalb der ENISA angesehen werden, also auch die 
CSIRTs, das CSIRTs-Netzwerk oder die Kooperationsgruppe. 

Für Mitglieder der ENISA — wie im Übrigen für alle Beamte und Bedienstete 
der Union - gilt außerdem die personelle Geheimhaltungspflicht nach Beendi- 
gung der Amtstätigkeit, die primärrechtlich in Art. 339 AEUV verankert ist. 
Kenntnisse, die „ihrem Wesen nach“ unter das Berufsgeheimnis fallen, dürfen 
nicht preisgegeben werden. Ausdrücklich sind auch Kenntnisse über Unterneh- 
men und deren Geschäftsbeziehungen genannt. Da Art. 339 AEUV grundsätz- 
lich alle Mitglieder der Organe der Union zur Geheimhaltung verpflichtet, ist 
die Überlegung nicht abwegig, die Weitergabe geschützter Informationen so- 
wohl innerhalb als auch zwischen Organen der Union auf Art. 339 AEUV zu 
stützen. Denn um die Funktionsfähigkeit eines Organs oder einer Einrichtung 
zu wahren (effet utile), muss die Weitergabe einer geschützten Information min- 
destens insoweit zulässig sein, als ein anderes Organ oder eine andere Einrich- 
tung, d.h. die empfangende Stelle, für die Verarbeitung der Information zustän- 
dig ist und die Kenntnis des Geheimnisses erforderlich ist. Dagegen lässt sich 
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aus der allgemeinen Verschwiegenheitspflicht der Organbediensteten aber we- 
der eine Erlaubnis noch ein Recht auf Mitteilung eines Geheimnisses herlei- 
ten.”° Ohne eine bestimmte Offenbarungsbefugnis ist die Weitergabe an nicht 
zuständige Stellen oder andere Organe der Union im Grundsatz unzulässig. 


b) Begrenzungen der deutschen NIS-Behörden 


Hinsichtlich der Weitergabe von gewonnenen Informationen aus Untersuchun- 
gen von sicherheitsrelevanten Produkten und Systemen besteht eine besondere 
Begrenzung, die den europäischen Austausch betrifft (aa). Im Übrigen zeichnet 
sich der Vertraulichkeitsschutz durch eine geringe Regelungsdichte aus, die zu 
Unsicherheit führt und den Informationsverkehr hemmt (bb). 


aa) Weitergabe von Erkenntnissen aus Produkt- und Systemuntersuchungen 
an europäische NIS-Stellen 


Eine spezifische Begrenzung der Weitergabe besteht für die Erkenntnisse aus 
der Untersuchung von informationstechnischen Produkten und Systemen, die 
das BSI nach $ 7a BSIG vornehmen darf.?°* Erkenntnisse sind keine personen- 
bezogenen Daten? und umfassen sicherheitsrelevante Produkt- und Systemin- 
formationen. Erfasst sind vom Begriff der Erkenntnis festgestellte Sicherheits- 
lücken, mithin vertrauliche Unternehmensinformationen. 

Dem Wortlaut nach darf das Bundesamt seine Erkenntnisse „weitergeben und 
veröffentlichen“. Die Weitergabe unterliegt dennoch einer nicht datenschutz- 
rechtlichen Zweckbindung. Zulässig ist die Weitergabe durch diesen Verweis 
(„soweit dies zur Erfüllung dieser Aufgaben erforderlich ist“) nur für einen de- 
finierten Aufgabenbereich.’ Die Verweisung auf $ 7a Abs.2 S. 1 in Verbin- 
dung mit § 3 Abs. 1 S.2 Nr. 1, 14 und 17 BSIG betrifft dabei gerade nicht die 
Aufgabe der Zusammenarbeit mit den zuständigen europäischen Stellen (vgl. 
83 Abs. 1 S.2 Nr. 16 BSIG). Auch der Verweis auf die allgemeinste Aufgabe 
(Nr. 1), die Abwehr von Gefahren für die Sicherheit der Informationstechnik, 
betrifft nur die Informationstechnik „des Bundes“. Im Umkehrschluss aus der 


263 Brühann, in: von der Groeben/Schwarze/Hatje (Hrsg.), Europäisches Unionsrecht, 
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Aufgabenkopplung ergibt sich, dass die Weitergabe der Erkenntnisse an europä- 
ische Stellen gerade nicht intendiert ist. 

Für die europäische NIS-Informationskooperation stellt diese Weitergabe- 
begrenzung eine nicht zu unterschätzende Begrenzung dar. Die Weitergabe ei- 
ner Information über Sicherheitslücken in einem IT-Produkt oder -system kann 
unmittelbar zur europäischen Sicherheitsgewährleistung beitragen, da diese 
Produkte häufig global bzw. im europäischen Binnenmarkt im Verkehr sind. 
Das Weitergabeverbot perpetuiert insofern europäische Informationsasymme- 
trien, die abzuschaffen Zweck der NIS-RL ist, um so das Funktionieren des 
Binnenmarkts zu verbessern (Art. 1 Abs. 1 NIS-RL). Beheben lässt sich die 
Asymmetrie zum Teil durch die Befugnis des BSI, die Erkenntnis zu veröffent- 
lichen. Die Erkenntnis könnte so an das europäische Publikum und damit an die 
NIS-Stellen weitergetragen werden.’ 


bb) Geringe Regelungsdichte zur Weitergabe vertraulicher Informationen 
durch die NIS-Behörden 


Befugnisse zur Weitergabe von Betriebs- und Geschäftsgeheimnissen sind für 
das BSI nicht positiv gesetzlich geregelt. Eine besondere Bestimmung ist auch 
nicht in den telekommunikationsrechtlichen Vorschriften zur Sicherheit vorge- 
sehen (§§ 108 ff. TKG). Das ist umso verwunderlicher, als die telekommunika- 
tionsrechtlichen Meldungen an die Bundesnetzagentur im Gegensatz zu denen 
an das BSI stets die Offenbarung der Unternehmensidentität bedingen und da- 
her tendenziell eher wirtschaftlich sensible Informationen bei der Bundesnetz- 
agentur vorliegen. 

Als Grundlage denkbar für den Austausch vertraulicher Informationen er- 
scheint ein Rückgriff auf $ 123b TKG. Die Norm erlaubt der Bundesnetzagentur 
die Offenbarung von vertraulichen Informationen an die Kommission und die 
Regulierungsbehörden anderer Mitgliedstaaten.’ Aus dem systematischen Zu- 
sammenhang mit $ 123a TKG, der allgemein die Zusammenarbeit der Bundes- 
netzagentur im Mehrebensystem betrifft, ergibt sich, dass vor allem die Infor- 
mationskooperation im telekommunikationsrechtlichen Regulierungsverbund 


ermöglicht werden soll.” Die Norm wurde in formeller Hinsicht erst durch die 

267 Gegen eine Weitergabe von Informationen im Rahmen der Zusammenarbeit mit ande- 
ren Behörden Hornung, NJW 2015, 3334 (3338), der wegen der Sensibilität der Informationen 
auf die Gefahr der Industriespionage verweist. 

268 Siehe 85 B. I. 3. 

29 BT-Drs. 17/5707, S. 85; Schönau, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, 
§ 123a Rn. 8. 

270 Zum Hintergrund der spannungsgeladenen Kooperation Schönau, in: Geppert/Schütz 
(Hrsg.), BeckTKG, 4. Aufl. 2013, $ 123a Rn. 1; vgl. auch Kurth, MMR 2009, 818 (818 ff.), der 
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Schaffung des Gremiums Europäischer Regulierungsstellen für elektronische 
Kommunikation (GEREK) notwendig.?”! Dass weder die Rollenbeschreibung 
noch die Aufgabenzuweisung des GEREK auf eine Funktion in der Gewährleis- 
tung der Sicherheit von Netzen und Informationssystemen hinweisen,” spricht 
dagegen, $ 123b TKG als Grundlage in der europäischen NIS-Kooperation her- 
anzuziehen. Allerdings muss $ 123b TKG ausgehend vom Wortlaut nicht not- 
wendig im Zusammenhang mit der GEREK gelesen werden. Wenn $ 123b 
Abs. 2 TKG der Bundesnetzagentur erlaubt, ihr übermittelte Informationen der 
nationalen Regulierungsbehörde eines anderen Mitgliedstaats zur Verfügung 
zu stellen, „damit diese [...] ihre Verpflichtungen aus dem Recht der Europäi- 
schen Union erfüllen kann“, dann betrifft die Befugnis grundsätzlich auch In- 
formationen zur Sicherheit von Telekommunikationsinfrastrukturen. Art. 8 
Abs. 4 lit. f RL 2009/140/EG weist die Sicherstellung der Gewährleistung der 
Integrität und Sicherheit der öffentlichen Kommunikationsnetze als politisches 
Ziel und regulatorischen Grundsatz den nationalen Regulierungsbehörden zu. 
Aus den sicherheitsbezogenen Vorschriften in Art. 13a und 13b RL 2009/140/ 
EG ergeben sich Pflichten für die Regulierungsbehörden, insbesondere zur 
Durchsetzung der Sicherheitspflichten. Demzufolge kann die Bundesnetzagen- 
tur vertrauliche Informationen mit Behörden anderer Mitgliedstaaten austau- 
schen. Der mögliche Anwendungsbereich ist jedoch gering, da die Befugnis für 
das BSI oder die CSIRTs gerade nicht gilt. Überdies setzt der Informationsaus- 
tausch auch auf Grundlage von $ 123b TKG einen begründeten Antrag voraus. 
Das strukturelle Problem bei den zuständigen Behörden ist aber gerade die Un- 
kenntnis, sodass regelmäßig weder Anlass für einen Antrag besteht noch dieser 
begründet werden kann. 

Ein vergleichender Blick auf andere Informationsaustauschregime im euro- 
päischen Kartellrecht macht deutlich, dass sich das europäische NIS-Recht 
durch eine verhältnismäßig geringe Regelungsdichte hinsichtlich des Vertrau- 


Meinungsverschiedenheiten am exemplarischen Vertragsverletzungsverfahren der Kommis- 
sion gegen die Bundesrepublik Deutschland wegen Verstoßes gegen Notifizierungspflichten 
erörtert. 

271 Etablierung des GEREK im Januar 2010 durch die unmittelbar anwendbare VO (EG) 
Nr. 1211/2009 vom 25.11.2009, ABl. EU Nr. L 337 v. 18.12.2009, S. 1, zur Errichtung des neuen 
Gremiums Europäischer Regulierungsstellen für elektronische Kommunikation (GEREK) 
und des Büros. 

272 Art.2 und 3 VO (EG) Nr. 1211/2009. Vor der Schaffung des GEREK hatte die Kom- 
mission zunächst weitergehende Pläne und schlug vor, eine European Electronic Communi- 
cations Authority (EECMA) zu schaffen. Diese sollte über aufsichtsrechtliche, organisatori- 
sche und gestalterische Kompetenzen verfügen und eine Aufsichtsrolle in der Netz- und In- 
formationssicherheit wahrnehmen. Der Vorschlag konnte sich nicht durchsetzen und so ist 
die GEREK-VO eine Kompromisslösung. Siehe Attendorn, CR 2011, 721 (722 m. w.N.). 
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lichkeits- und Geheimnisschutzes auszeichnet. Die Zusammenarbeit der euro- 
päischen Kartellbehörden im European Competition Network verfolgt Zwecke, 
die auch denen der NIS-Kooperation entsprechen. Der Informationsaustausch 
soll die beschränkten Ermittlungsmöglichkeiten der nationalen Kartellbehör- 
den, die sich vor allem aus der territorialen Begrenzung der jeweiligen nationa- 
len Zuständigkeit ergeben, kompensieren.” Der Netzwerk der Kartellbehörden 
dient als wichtige Erkenntnisquelle im dezentralen Vollzug des Kartellrechts im 
Mehrebenengeflecht der Union.?’”* Der bedeutenden Problematik des Schutzes 
von Betriebs- und Geschäftsgeheimnissen trägt bereits auf Ebene des Sekun- 
därrechts Art. 12 VO 1/2003 Rechnung. Diese Vorgabe konkretisiert § 50a 
GWB und stellt die Befugnis zum umfassenden Austausch rechtlicher und tat- 
sächlicher Informationen dar.?”° Positiv geregelt sind dabei nicht nur die allge- 
meine Befugnis und der Umfang des Informationsaustausches, sondern auch 
gegenstandsbezogene Verwertungsbeschränkungen und solche zum Schutz von 
Verteidigungsrechten. So ist die Verwertung der Informationen gegenstandsbe- 
zogen an die Anwendung von Art. 101 und 102 AEUV gebunden. Gleichzeitig 
haben die Kommission und die nationalen Behörden einen Katalog von Verwer- 
tungsbeschränkungen bei der Verhängung von Sanktionen zu beachten.” 
Art. 28 Abs. 2 VO 1/2003 statuiert ein Weitergabeverbot und betrifft unmittel- 
bar alle Behörden und alle im Netzwerk ausgetauschten Informationen. Die 
Vorschrift gewährleistet den Außenschutz von Berufs- und Geschäftsgeheim- 
nissen im Netzwerk. Aufgrund des Vorrangs des Unionsrechts geht das Weiter- 
gabeverbot nationalen Regelungen in Bezug auf ausgetauschte Dokumente vor. 

Beide Regelungsarrangements, das telekommunikationsrechtliche wie das 
kartellrechtliche, weisen eine höhere Dichte an Regelungen zum Vertraulich- 
keitsschutz auf. Im NIS-Bereich ist das Schutzniveau weitgehend von den Regu- 
lierungsansätzen und Verständnissen von vertraulichen Informationen abhän- 
gig. Unterschiede kann es in den Mitgliedstaaten insbesondere bei der Frage 
geben, ob besondere Sicherheitsschwachstellen als zu schützendes Unterneh- 
mensgeheimnis zu bewerten sind. Solange ein harmonisiertes Verständnis uni- 
onsrechtlich nicht vorgezeichnet wird und solange keine den aufgeführten Refe- 


23 Vgl. Ausführung in BGH, NJW 2004, 3711 (3714). 

274 Kment, Grenzüberschreitendes Verwaltungshandeln, 2010, S. 291; Gussone/Michal- 
czyk, EuZW 2011, 130 (130 ff.); Erwägungsgrund 16 VO (EG) Nr. 1/2003. 

275 Rehbinder, in: Immenga/Mestmäcker, GWB, 5. Aufl. 2014, § 50a Rn. 7; vgl. für Art. 12 
VO (EG) 1/2003 Vollrath, in: von der Groeben/Schwarze/Hatje, Europäisches Unionsrecht, 
Band 4, 7. Aufl. 2015, VO (EG) 1/2003, Art. 12, Rn. 6. 

276 Verfassungsrechtlich begründete Verwertungsverbote sind nach § 50a Abs.3 S.2 
GWB zu beachten. Informationen, die in einem ausländischen Verfahren erhoben wurden, 
können im Bußgeldverfahren verwertet werden. Art. 12 VO (EG) Nr. 1/2003 geht von einem 
in der EU vergleichbaren Schutzniveau aus, Erwägungsgrund 16 der VO. 
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renzgebieten entsprechend differenzierten, nationalen Befugnisse vorgegeben 
sind, ist der Austausch mit Unsicherheit behaftet. Diese Unsicherheit hat eine 
begrenzende Wirkung auf den Informationsaustausch.?’”’ Eine Zustimmung des 
Betroffenen mag im Einzelfall vorliegen. Regelmäßig haben Unternehmen je- 
doch keinen intrinsischen Anreiz, Geheimnisse, zumal transnational, zu teilen. 
Auf einzelfallabhängigen Abwägungsentscheidungen kann perspektivisch kein 
europäisches NIS-Informationsaustauschsystem beruhen, das operabel sein 
möchte. 


III. Grenzen des Informationstransfers durch Organisationsrecht 


Begrenzungen für den Informationsaustausch im Bereich der Netz- und Infor- 
mationssicherheit können sich des Weiteren aus dem Organisationrecht erge- 
ben. Die Verdichtung der informationellen Zusammenarbeit in Fusionszentren 
wie dem Nationalen Cyber-Abwehrzentrum wirft die Frage nach der Vereinbar- 
keit mit dem sicherheitsbehördlichen Trennungsgebot auf (1.). Die fehlende or- 
ganisationrechtliche Unabhängigkeit der NIS-Behörde lässt den Vorbehalt an- 
melden, informationelle Entscheidungen über die Weitergabe von Informatio- 
nen fielen zulasten der Netz- und Informationssicherheit aus (2.). 


1. Trennungsgebot und Informationsaustausch im Nationalen Cyber- 
Abwehrzentrum 


Die Kooperation verschiedener Sicherheitsbehörden im Nationalen Cyber-Ab- 
wehrzentrum (NCAZ) ruft Bedenken hinsichtlich der Vereinbarkeit mit dem 
sicherheitsbehördlichen Trennungsgebot hervor.?”® 

Das NCAZ steht in der Sicherheitsgewährleistung für eine konzeptionell neue 
Form der Zusammenarbeit in Gestalt eines informellen und informationellen 
Netzwerks. Die Einrichtung des NCAZ bettet sich ein in eine Entwicklung des 
Ausbaus der Sicherheitsarchitektur im Zuge der intensivierten Bekämpfung des 
internationalen Terrorismus und der organisierten Kriminalität. Es zeichnet 
sich eine allgemeine Tendenz zur Zentralisierung in der Aufgabenwahrneh- 


277 Im Zusammenhang mit der Einführung des Cybersecurity-Information-Sharing-Sys- 
tems in den USA Nolan, Cybersecurity and Information Sharing: Legal Challenges and So- 
lutions, Congressional Research Service, 2015, S. 36. 

2738 Siehe zum NCAZ § 3 B. II. 5; zur Vereinbarkeit mit dem institutionellen Gesetzesvorbe- 
halt Linke, DÖV 2015, 128 (132f); vgl. zum Gemeinsamen Terrorismusabwehrzentraum 
(GTAZ), Weisser, NVwZ 2011, 142 (144); Schoch, Polizei- und Ordnungsrecht, in: ders. (Hrsg.), 
Besonderes Verwaltungsrecht, 15. Aufl. 2013, Kap. 2, Rn. 52; Rathgeber, DVBl. 2013, 1009 
(1016); allgemeiner Bäcker/Giesler/Harms/Hirsch/Kaller/Wolff, Bericht der Regierungskom- 
mission zur Überprüfung der Sicherheitsgesetzgebung in Deutschland, 2013, S. 174 ff. 
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mung und eine Verlagerung der Aufgaben und Eingriffsbefugnisse weiter in das 
Vorfeld der Gefahrenabwehr ab.?” 

Das NCAZ verdichtet die informationelle Zusammenarbeit. Am NCAZ sind 
sowohl Polizeibehörden (Bundeskriminalamt) als auch Nachrichtendienste 
(Bundesamt für Verfassungsschutz und Bundesnachrichtendienst), darunter aus 
dem militärischen Bereich der Militärischer Abschirmdienst, beteiligt. Mit dem 
IT-Sicherheitsgesetz wurde die Rolle des NCAZ indirekt aufgewertet, da das 
BSI und das Bundeskriminalamt erweiterte Kompetenzen hinsichtlich der In- 
formationsgenerierung zugewiesen bekommen haben und so mehr Informatio- 
nen im NCAZ einbringen können. Das so ausgestaltete NCAZ könnte gegen das 
Trennungsprinzip insbesondere in informationeller Hinsicht verstoßen. 


a) Sicherheitsbehördliches Trennungsgebot 


Das Trennungsgebot in der sicherheitsbehördlichen Datenverarbeitung findet 
seine historische Erklärung in der Rolle der Sicherheitsdienste vor der Bildung 
der Bundesrepublik Deutschland. Während der nationalsozialistischen Gewalt- 
und Willkürherrschaft hatte die „Geheime Staatspolizei“ (Gestapo) sowohl po- 
lizeiliche also auch nachrichtendienstliche Befugnisse. Diese doppelte Befugnis 
erwies sich als besonders fatal, da so die Gestapo politische Gegner systema- 
tisch überwachen und verfolgen konnte.?®° Die alliierten Vereinigten Staaten 
von Amerika, Großbritannien und Frankreich setzten in der Folge durch, Poli- 
zei und Nachrichtendienste sowohl in ihrer Funktion als auch in ihren Befug- 
nissen zu trennen. ”®! 

Das Trennungsgebot findet im Gesetz eine organisatorische, aufgabenbezo- 
gene und eine befugnisbezogene Ausprägung. Das einfachgesetzliche Tren- 
nungsgebot steht dem NCAZ nicht entgegen. 

In organisatorischer Hinsicht ist eine personelle Verflechtung grundsätzlich 
unzulässig. Das Trennungsgebot sieht einfachgesetzlich in den Errichtungsge- 
setzen für die Nachrichtendienste vor, dass diese keiner „polizeilichen Dienst- 
stelle [...] angegliedert werden“ ($2 Abs. 1 S.2 BVerfSchG, $ 1 Abs.1 S.2 
BNDG, $ 1 Abs. 4 MADG). Das NCAZ verletzt diese Vorgaben nicht. Das Bun- 
deskriminalamt ist lediglich lose durch Verbindungsbeamten assoziiert. Keiner 
der Beamten verfügt über eine Doppelzuständigkeit, ein Subordinationsverhält- 
nis wird nicht hergestellt. Im Übrigen fehlt dem NCAZ schon die Behördenqua- 


279 Roggan, NJW 2009, 257 (262); Dombert/Räuker, DÖV 2014, 414 (420). 

280 Petri, Sicherheitsbehördliche Datenverarbeitung, in: Schmidt/Weichert (Hrsg.), Daten- 
schutz, 2010, S. 125 (Fn. 2). 

28! Petri, Sicherheitsbehördliche Datenverarbeitung, in: Schmidt/Weichert (Hrsg.), Daten- 
schutz, 2010, S. 115. 
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lität. Weder verfügt es über eine organisatorische Eigenständigkeit, da es beim 
BSI angesiedelt ist, noch verfolgt es eine nach außen gerichtete Verwaltungs- 
tätigkeit. Sofern im interbehördlichen Datenaustausch Grundrechte von Grund- 
rechtsberechtigten berührt werden, so ist jedenfalls nicht das NCAZ selbst 
übermittelnde oder empfangende Stelle. 

Unvereinbar mit dem Trennungsprinzip wäre ferner eine Aufgabenvermi- 
schung im NCAZ. Die Aufgaben der Behörden sind grundsätzlich zu trennen. 
Aufgaben der Gefahrenabwehr und der Strafverfolgung sind von der nachrich- 
tendienstlichen Vorfeldaufklärung zu separieren.”®° Soweit im NCAZ ein Aus- 
tausch über den eigenen Aufgabenkreis betreffende Fragen und Sachverhalte 
stattfindet, liegt darin keine rechtswidrige Ausdehnung der Aufgabenzuweisun- 
gen. Die Schwelle wäre wohl dann übertreten, wenn die beteiligten Polizeibe- 
hörden nicht mehr nur für die Gefahrenabwehr und Strafverfolgung zuständig 
wären, sondern auch für Aufgaben im nachrichtendienstlichen, vorfeldbezoge- 
nen Aufgabenspektrum und so die Zusammenarbeit über den koordinativ- 
kooperativen Informationsaustausch hinausginge. In der Behördenkooperation 
liegt auch kein gegen Art. 35 Abs. 1 GG verstoßendes Zusammenwirken. Eine 
verstetigte Amtshilfe kann problematisch sein, wenn Zuständigkeiten und 
Kompetenzen nicht nur situativ und punktuell überbrückt, sondern dauerhaft 
umgangen werden.?®* Im NCAZ verbleibt aber jede Behörde im eigenen Zustän- 
digkeitsbereich, die Kooperation findet in eigenen Angelegenheiten statt. Dage- 
gen hat Amtshilfe einen altruistischen Charakter.” 

Grundlegendste Ausprägung des Trennungsgebots ist die befugnisbezogene 
Trennung. Nachrichtendienste dürfen gemäß $ 8 Abs. 3 BVerfSchG, $ 2 Abs. 3 
BNDG und $ 4 Abs. 2 MADG weder über polizeiliche Befugnisse, über kom- 
pensatorische Amtshilfeansprüche noch über Weisungsrechte verfügen. Jeden- 
falls sollen den Nachrichtendiensten damit nicht die Befugnisse einer Exekutiv- 
behörde zustehen?®° bzw. sie dürfen keine polizeilichen Zwangsbefugnisse auf- 
weisen undmithinkeine Vernehmungen, Durchsuchungen oderBeschlagnahmen 
durchführen oder anderen Zwang ausüben.”®’ Demgegenüber haben Polizei- 
und Strafverfolgungsbehörden Vollzugsbefugnisse, weil sie grundsätzlich dem 


282 Vgl. Weisser, NVwZ 2011, 142 (145). 

283 BVerfGE 133, 277 (325 ff). 

284 Vgl. BVerfGE 63, 1 (32); BVerfG, NVwZ 2011, 1254 (1255); Pieroth, in: Jarass/Pieroth 
(Hrsg.), GG, 13. Aufl. 2014, Art. 35 Rn. 4. 

285 Im Ergebnis auch Linke, DÖV 2015, 128 (135); Müller-Terpitz, Sicherheit im E-Govern- 
ment, in: Borges/Schwenk (Hrsg.), Daten- und Identitätsschutz in Cloud Computing, E-Go- 
vernment und E-Commerce, 2012, S. 169 (179). 

286 Zum BVerfSchG BT-Drs. 1/924, S. 3 f. 

287 BVerfG, NJW 2011, 2417 (2420). 
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Bürger mit „offenem Visier“ gegenübertreten. Eine Geheimpolizei ist nicht vor- 
gesehen. ”®® 

Es ist nicht ersichtlich, dass dem NCAZ als Einrichtung Befugnisse übertra- 
gen werden, die dem Trennungsprinzip widersprächen. Im NCAZ werden den 
Nachrichtendiensten weder Zwangsbefugnisse übertragen noch wird den Fach- 
und Polizeibehörden Zugriff auf nachrichtendienstliche Befugnisse gewährt.” 
Eine Weisungsbefugnis des koordinierenden Cybersicherheitsrates gegenüber 
dem NCAZ wäre schon aufgrund der fehlenden Behördeneigenschaft nicht 
möglich.?” Vor diesem Hintergrund besteht zwar ein Spannungsverhältnis zwi- 
schen dem Bedürfnis nach Informationsaustausch und Vernetzung der Sicher- 
heitsbehörden und dem Trennungsgebot. Die konkrete Verwaltungskooperation 
im NCAZ verstößt jedoch nicht gegen die befugnisrechtliche Ausformung des 
Trennungsgebots.?! 


b) Reichweite des informationellen Trennungsprinzips 


Gegen den Informationsaustausch im NCAZ könnte das Bestehen eines infor- 
mationellen Trennungsgebots angeführt werden. Demzufolge müssten auch die 
jeweils generierten Informationen getrennt bleiben. Eine einfachgesetzliche 
Ausgestaltung eines solchen Gebots besteht nicht. Vielmehr erlauben die fach- 
gesetzlichen Übermittlungsvorschriften wie $20 Abs. 1 S.2 BVerfSchG, $ 9 
Abs.3 BNDG und $ 11 Abs.2 MADG den Nachrichtendiensten, im Vorfeld 
gesammelte Erkenntnisse über erhebliche Gefahren mit den Polizeien zu teilen. 
Der zulässige Informationsaustausch vermeidet sinnwidrige Situationen. Es 
wäre absurd, wenn die Nachrichtendienste (spontan) Erkenntnisse über konkre- 
te, schwerwiegende Gefahren hätten, die sie nicht an Polizeien und Strafverfol- 
gungsbehörden weitergeben dürften.” Ein striktes informationelles Tren- 
nungsgebot kann es nicht geben. Sinnvoll erscheint es dagegen, das Trennungs- 
gebot als interpretative Leitlinie für den Informationsaustausch heranzuziehen. 
Das Trennungsgebot soll den allwissenden Überwachungsstaat verhindern. 
Entsprechend dieser Ratio ist es richtig, das Trennungsgebot unter dem Aspekt 


288 Petri, Sicherheitsbehördliche Datenverarbeitung, in: Schmidt/Weichert (Hrsg.), Da- 
tenschutz, 2010, S. 117; zu den zunehmenden verdeckten und heimlichen Ermittlungsmetho- 
den Schwabenbauer, Heimliche Grundrechtseingriffe, 2013, S. 26 ff. 

289 Linke, DÖV 2015, 128 (137). 

290 Vgl. BT-Drs. 17/5694, S. 5. 

>! Vgl. allgemein auch Bull, Trennungsgebot und Verknüpfungsbefugnis — Zur Aufga- 
benteilung der Sicherheitsbehörden, in: Hendler/Ibler/Soria (Hrsg.), „Für Sicherheit, für Eu- 
ropa“, FS Götz, 2005, S. 341 (355 f.). 

292 Zöller, Informationssysteme und Vorfeldmaßnahmen von Polizei, Staatsanwaltschaft 
und Nachrichtendiensten, 2002, S. 309. 
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des Datenschutzes zu beleuchten.?”” Komplexe Angriffe auf die Netz- und In- 
formationssysteme orientieren sich indes nicht entlang der Behördenzuständig- 
keit. Ein Informationsaustausch über Sachinformationen muss erlaubt sein. Der 
intensiven und effektiven Zusammenarbeit von Nachrichtendiensten, Polizei, 
Strafverfolgungsbehörden und militärischen Einheiten zu Analysezwecken 
steht allerdings auch bei Rückbesinnung auf die ursprüngliche Funktion des 
Trennungsgebots im Grundsatz nichts im Wege. Das Bundesverfassungsgericht 
geht in diesem Zusammenhang im Übrigen nur von einem aus dem Grundrecht 
auf informationelle Selbstbestimmung abzuleitenden informationellen Tren- 
nungsprinzip aus.” Danach dürfen Daten zwischen den Nachrichtendiensten 
und Polizeibehörden grundsätzlich nicht ausgetauscht werden. Einschränkun- 
gen der Datentrennung sind aber zulässig, wenn sie zur operativen Aufgaben- 
wahrnehmung erfolgen. Der Austausch zwischen Nachrichtendiensten und Po- 
lizeibehörden muss jedoch einem herausragenden öffentlichen Interesse dienen. 
Dieser schwerwiegende Eingriff muss durch hinreichend konkrete und qualifi- 
zierte Eingriffsschwellen auf der Grundlage normenklarer gesetzlicher Rege- 
lungen gesichert sein, wobei die Eingriffsschwellen zur Generierung von Daten 
nicht unterlaufen werden dürfen.” 

Im NCAZ sollen personenbezogene Daten ohnehin nicht verarbeitet werden, 
eine eigene Datei legt das NCAZ nicht an. Sollte ausnahmsweise ein Austausch 
personenbezogener Daten erforderlich sein, hat dieser ausschließlich zwischen 
den jeweils beteiligten Behörden und Stellen auf der Grundlage der für die je- 
weilige Behörde geltenden Gesetze und Vorschriften stattzufinden.?”° Perspek- 
tivisch wäre der Austausch personenbezogener Daten im NCAZ auf Grundlage 
der gebotenen spezifischen Rechtsgrundlage jedenfalls zum Schutz der Infor- 
mationstechnik kritischer Infrastrukturen rechtfertigungsfähig. Deren Ausfall 
oder Beeinträchtigung kann bei erheblichen Versorgungsengpässen das heraus- 
ragende öffentliche Interesse am Informationsaustausch begründen. Problema- 
tisch wäre der automatische Zugriff auf behördenfremde Daten.” Sobald eine 
automatisierte oder gar unbegrenzte Zugriffsmöglichkeit auf personenbezogene 
Daten vorhanden ist, kann darin eine selbstständig zu bewertende Eingriffsqua- 
lität zu sehen sein, deren Ausmaß nicht mehr von den Übermittlungsvorschrif- 


23 Nehm, NJW 2004, 3289 (3294 f.): „Informationelle Aspekte des Datenaustauschs sind 
nicht Bestandteil des Trennungsgebots. [...] Das Trennungsgebot [...] hat [...] seine unmittel- 
bare verfassungsrechtliche Bedeutung verloren.“ Vgl. Gärditz, JZ 2013, 633 (634). 

294 BVerfGE 133, 277 (329). 
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2 BT-Drs. 17/5694, S. 3; siehe zu den Rechtsgrundlagen § 4 C. I. 2. 

297 Vgl. Würtenberger, Polizei- und Ordnungsrecht, in: Ehlers/Fehling/Pünder (Hrsg.), 
Besonderes Verwaltungsrecht, Band 3, 3. Aufl. 2013, § 69 Rn. 93; Zöller, JZ 2007, 763 (770 f.). 
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ten gedeckt sein dürfte. Diese Form der verstetigten Kooperation wäre auf 
Grundlage von Kooperationsvereinbarungen, wie sie für das NCAZ bestehen, 
nicht zu rechtfertigen. 

Ein umfassendes informationelles Trennungsgebot ist im Ergebnis nicht zu 
begründen. Der Austausch allgemeiner Kenntnisse und von Informationen über 
Zielrichtungen und Motivationen von Angriffen, Auswertungen über die Aus- 
wirkungen von Angriffen oder über Sicherheitsschwachstellen im NCAZ ist 
zulässig. Für den Austausch personenbezogener Daten gilt ein informationelles 
Trennungsprinzip. Der Austausch solcher Daten zwischen Nachrichtendiensten 
und Polizei muss einem herausragenden öffentlichen Interesse dienen. Insofern 
sind für den Informationsaustausch des Bundesnachrichtendiensts mit dem BSI 
auf Grundlage von $ 7 G10 geringe Anforderungen zu stellen, da das BSI von 
keinen Vollzugs- und Zwangsbefugnissen Gebrauch machen darf. Gleichwohl 
darf für den Austausch mit dem BSI nicht das befugnisbezogene Trennungsge- 
bot unterlaufen werden. Insgesamt steht weder das Trennungsgebot noch das 
Trennungsprinzip dem NCAZ in seiner konkreten Gestalt entgegen. 


2. Unabhängigkeit der NIS-Behörde 


Wesentliche organisationsrechtliche Bedingungen wie die Leitungsstruktur, 
Weisungsgebundenheit sowie Fach- und Rechtskontrolle haben Bedeutung für 
die informationsverwaltungsrechtlichen Prozesse. Sie beeinflussen die Wis- 
sensproduktion, den Informationsaustausch sowie die Ermessensausübung im 
staatlichen Informationshandeln. Zu untersuchen ist daher, ob eine fehlende in- 
stitutionelle Unabhängigkeit der NIS-Behörden Einfluss auf die Gewährleis- 
tung der Netz- und Informationssicherheit hat (a). Die Debatte der Unabhängig- 
keit der Datenschutzaufsicht hat die Frage der grundsätzlichen Zulässigkeit der 
Unabhängigkeit von Behörden geklärt (b). Die sachliche Rechtfertigung der 
Unabhängigkeit der NIS-Behörden ist aber, auch wenn die Unabhängigkeit ihre 
Position als Wissensakteur zu stärken vermag, nicht zuletzt nach dem Verständ- 
nis der Schutzziele der Netz- und Informationssicherheit selbst fraglich (c). 


a) Stärkung der technischen Sicherheit durch Neutralität 


Die Frage der Unabhängigkeit der NIS-Behörde stellt sich nicht so sehr für die 
ENISA, da es sich bei ihr um eine weitgehend verselbstständigte und unabhän- 
gige Unionsagentur handelt.” Dagegen ist das BSI gemäß $ 1 S.2 BSIG eine 
dem Bundesministerium des Innern (BMI) untergeordnete Behörde. Die durch 
das Unterordnungsverhältnis gegebene Fach- und Rechtsaufsicht des BMI kann 
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zu Weisungen führen, die den Schutzzielen der Netz- und Informationssicher- 
heit gegenläufig sind. 

In der Sicherheitsdebatte ist vorgebracht worden, dass die Doppelrolle des BSI 
zu Zielkonflikten führe, da sie auf der einen Seite als zivile, präventive Sicher- 
heitsbehörde für Bürger und Unternehmen fungiere und auf der andern Seite zu- 
gleich als Fachbehörde andere Sicherheitsbehörden aus anderen Geschäftsberei- 
chen des BMI unterstütze.?”” Dem Grundrecht auf Gewährleistung der Vertrau- 
lichkeit und Integrität informationstechnischer Systeme werde nicht entsprochen, 
wenn das BSI in Beratungs- und Mitgestaltungsfunktion an der Entwicklung im 
E-Government wie der DE-Mail als Standard für die Behördenkommunikation 
mitwirke und eine sichere Ende-zu-Ende-Verschlüsselung lediglich als unver- 
bindliche Option vorsehe, damit anderen Sicherheitsbehörden der Zugriff auf die 
E-Mail-Kommunikation ermöglicht werde.’ Die Glaubwürdigkeit würde zu- 
dem leiden, wenn das BSI das Bundeskriminalamt bei der Entwicklung einer 
bundeseigenen fernforensischen Software (Remote Forensic Software, sog. 
„Bundestrojaner“) unterstütze, da etwaige Instrumente den Zugriff auf fremde 
informationstechnische Systeme unter Verletzung der Schutzziele der Netz- und 
Informationssicherheit, nämlich der Integrität und Vertraulichkeit, ermögli- 
chen.” Da das BSI vormals als Zentralstelle für das Chiffrierwesen dem Bundes- 
nachrichtendienst unterstellt war,” sei es überdies dem Vertrauen abträglich, 
dass das BSI bei privaten Sicherheitsunternehmen nicht nur Informationen über 
Schwachstellen, sondern auch über kritische Sicherheitslücken (Zero-Day-Ex- 
ploits) erwerbe.°° Die Zusammenarbeit mit Nachrichtendiensten, die nicht wie 
das BSI zivil und präventiv, sondern offensiv und zum Teil militärisch ausgerich- 
tet seien, stelle einen nicht auflösbaren Interessenkonflikt dar. 
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Die informationsverwaltungsrechtliche These kann daher lauten, dass eine 
unabhängige, weisungsfreie NIS-Behörde ihr Ermessen eher dahingehend aus- 
übt, Informationen im Rahmen der europäischen NIS-Kooperation weiterzulei- 
ten oder Kenntnisse von IT-Schwachstellen nicht mit anderen (ausländischen) 
Nachrichtendiensten, Polizeibehörden oder sonstigen Stellen zu teilen, damit 
diese die Informationen nicht bei gleichzeitigem Verstoß gegen die Schutzziele 
der Netz- und Informationssicherheit für ihre Aufgabenerfüllung ausnutzen. 
Denn eine unabhängige NIS-Behörde müsste auf Interessen anderer Sicher- 
heitsbehörden, die für ihre Aufgabenerfüllung auf das Ausnutzen von Sicher- 
heitslücken angewiesen sind und insofern ein gewisses Interesse an einer nicht 
umfassenden Netz- und Informationssicherheit haben, keine Rücksicht nehmen 
und könnte Entscheidungen über den Informationsaustausch primär an den 
Schutzzielen der Netz- und Informationssicherheit (vgl. Art. 4 Nr.2 NIS-RL) 
ausrichten. Am Beispiel des BSI würde dies bedeuten, dass das aufsichtführen- 
de BMI dem BSI den Austausch von Erkenntnissen über kritische Sicherheitslü- 
cken mit anderen europäischen Stellen nicht etwa deshalb untersagen kann, weil 
diese Sicherheitslücken für Operationen des Bundesnachrichtendienstes, des 
Bundesamtes für Verfassungsschutz oder des Bundeskriminalamtes von strate- 
gischer Bedeutung sind. 


b) Unionsrechtliche Zulässigkeit weisungsfreier Räume 


Gegen die Unabhängigkeit von NIS-Behörden ließe sich von vorneherein ein- 
wenden, dass Behörden mit Eingriffsbefugnissen nicht außerhalb der demokra- 
tischen Legitimation handeln dürften. Diese erste organisationsrechtliche Kon- 
fliktlinie in der Frage der Zulässigkeit weisungsfreier Räume lässt sich am Bei- 
spiel der Unabhängigkeit der Datenschutzaufsicht untersuchen, der ohnehin 
eine gewichtige Rolle in der Gewährleistung der Internetsicherheit zukommt.” 

Die Aufsichtsbehörden handeln bei der Ausübung ihrer Befugnisse „völlig 
unabhängig“ (Art. 52 Abs. 1 DS-GVO). Die Unabhängigkeit ist verfassungs- 
rechtlich in Art. 8 Abs. 1 GRCH in Verbindung mit Art. 6 Abs. 1 EUV und in 
Art. 16 Abs. 2 UAbs. 1 S.2 AEUV verankert. Was der materielle Inhalt admini- 
strativer Unabhängigkeit ist, musste durch die Große Kammer des Europäische 
Gerichtshof erst geklärt werden, nachdem gegen die Bundesrepublik Deutsch- 
land ein Vertragsverletzungsverfahren eingeleitet worden war, weil es die Da- 
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tenschutzaufsichtsbehörden staatlicher Aufsicht unterwarf.?" Die Bundesrepu- 
blik Deutschland verstand Unabhängigkeit im Sinne der funktionellen Unab- 
hängigkeit, die sich in der Nichtbeeinflussung des Entscheidungsprozesses 
manifestiere.°°” Aufgrund der den Datenschutzbehörden verliehenen Befugnis- 
se handele es sich um eine Eingriffsverwaltung. Das Gebot der demokratischen 
Legitimation verlange eine Weisungsgebundenheit der Datenschützer gegen- 
über der Regierung. 

Der Gerichtshof legte den Begriff als institutionelle Unabhängigkeit aus.’ 
Diese ist bei einer eigenständigen, rechtlich begründeten Organisation gegeben, 
die grundsätzlich keiner Rechts- und Fachaufsicht unterliegt.” Eine staatliche 
Aufsicht „gleich welcher Art“ sei mit der Unabhängigkeit unvereinbar. Das Er- 
fordernis der Objektivität und Unparteilichkeit sei nur durch Schutz vor „jegli- 
cher Einflussnahme von außen“, d.h. auch seitens des Staates, erfüllt.°'° Es rei- 
che mithin die „bloße Gefahr“ einer Einflussnahme, da es einen „vorauseilenden 
Gehorsam“ der Datenschutzaufsicht im Hinblick auf die Entscheidungspraxis 
geben könne.?!! 

Die Unabhängigkeit einer Behörde birgt demnach das demokratietheoretische 
Probleme der nach Art. 2 EUV gebotenen Legitimation öffentlicher Stellen. Die 
Legitimationssubjekte müssen Regeln und Herrschaft akzeptieren.?!? Das kon- 
ventionelle deutsche Verständnis geht von einem grundsätzlichen Verbot minis- 
terialfreier Räume aus, demzufolge jeder Amtsträger dergestalt sachlich-inhalt- 
lich legitimiert sein muss, dass sich die Legitimationskette über die Ingerenzbe- 
fugnisse der Exekutive und insbesondere durch die Instrumente der Rechts- und 
Fachaufsicht realisiert.”'” Das Bundesverfassungsgericht ließ jedoch ministeri- 
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alfreie Räume in verselbstständigten Verwaltungseinheiten für Angelegenhei- 
ten zu, die nicht von einem solchen politischen Gewicht sind, dass sie der Regie- 
rungsverantwortung entzogen werden können.’ Wie sich aus Art. 23 GG er- 
gibt, müssen Gehalte von Unionsgrundsätzen nicht immer den Vorgaben der 
Mitgliedstaaten entsprechen. Die deutsche Verfassungsordnung ist grundsätz- 
lich offen für neue organisationsrechtliche Ansätze. Die Bestimmung des uni- 
onsrechtlichen Demokratiegehalts fordert ihrem Charakter nach zwar eine 
rechtvergleichende Untersuchung, sie kann aber gleichwohl autonom ausgelegt 
werden.°'? Nicht zuletzt lässt auch das Unionsrecht mit der Meroni-Doktrin®'® 
grundsätzlich keine ungesteuerte Herausbildung unabhängiger „Cluster unbe- 
antworteter Selbstherrschaft der Verwaltung“ zu und setzt Formen demokrati- 
scher Zurechnungs- und Verantwortungszusammenhänge auf allen Ebenen vo- 
raus.’!’ Der Grundsatz der Demokratie bedeutet aber nicht, dass es außerhalb 
des „klassischen hierarchischen Verwaltungsaufbauls]“ keine öffentlichen Stel- 
len geben könne, die von der Regierung mehr oder weniger unabhängig sind.”'® 

Die volle Unabhängigkeit einer Behörde ist also grundsätzlich zulässig, wenn 
sie aus sachlichen Gründen gerechtfertigt werden kann. 


c) Sachliche Rechtfertigung der Unabhängigkeit 


Sachliche Gründe zur Rechtfertigung organisationsrechtlicher Unabhängigkeit 
können epistemischer Natur sein (aa). Die Prämissen der Argumente für eine 
Unabhängigkeit von Behörden können allerdings bezweifelt werden (bb). Als 
rechtliche Gestaltungsoption, die dem unionsrechtlichen Wirksamkeitsgebot der 
NIS-RL entspräche, kommt die Veröffentlichung von Weisungen in Betracht (cc). 


aa) Stärkung der Wissensfunktion durch Unabhängigkeit 


Die unter dem Etikett New Public Management vorgeschlagene neue Verwal- 
tungsstrategie beruhte auf der Annahme, dass das monistische Modell des Ver- 
waltungsaufbaus der Aufgabenkomplexität der modernen Gesellschaft nicht 
gerecht werde und nicht adäquat auf die voranschreitende Ausdifferenzierung 
reagieren könne.°!? Übergeordnete Zielsetzung der Agenda des New Public 
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Managements war die Entflechtung von Politik und Verwaltung durch Hierar- 
chieabbau und Dezentralisierung.””° Die Modellannahme, dass die Gesamtheit 
aller Bürger chancengleich Input zu allen politischen Entscheidungsprozessen 
geben könne, wurde als zu idealistisch empfunden, und es entstand das Bedürf- 
nis nach einem komplexeren, pluralistischen Legitimationskonzept, in dem 
zwar das Parlament den Platz eines festen Bausteins im „Legitimationsmosaik“ 
einnimmt, seine Legitimationsrolle aber relativiert wird.”! Eine neue Demokra- 
tiedogmatik reagiert auf diese Verwaltungsrationalitäten und Heterarchisierung 
der Verwaltungsorganisation, indem sie das traditionelle Legitimationskonzept 
ergänzt oder modifiziert.” 

Als Ergänzung komme eine Output-Legitimation in Betracht. Bei diesem aus 
der Politikwissenschaft übernommenen normativen Begriff geht es zunächst 
um die wünschbare Qualität von Entscheidungen, die die realisierten Outputs 
aufgenommener Inputs (artikulierte Interessen) darstellen.” Die Kategorie der 
Effizienz spielt insofern eine Rolle, als die Lockerung parlamentarischer Rück- 
bindung durch Repräsentation für zulässig erachtet wird, soweit dies eine bes- 
sere Aufgabenwahrnehmung ermögliche (effiziente, post-parlamentarische De- 
mokratie).”* Die Erreichung größtmöglicher Verwaltungseffizienz wird in der 
Ablösung des traditionellen hierarchischen Governments zugunsten einer fla- 
chen, netzwerkartigen Governance gesehen. 

Für die Frage der Qualität behördlichen Handelns kann auch ein epistemi- 
scher Maßstab angelegt werden. Die Unabhängigkeit der Zentralbanken im 
Europäischen System der Zentralbanken (ESZB) und von Unionsagenturen 
wird insbesondere damit gerechtfertigt, dass dadurch weniger opportunitäts- 
getriebene und eher wissensbasierte, sachorientierte Entscheidungen getroffen 
werden. 
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Die Zentralbanken dürfen gemäß Art. 130 AEUV keine Weisungen von Uni- 
onsstellen oder mitgliedstaatlichen Stellen entgegennehmen oder solche einho- 
len.” Eine Beeinflussung der Beschlussorgane darf ebenfalls nicht stattfinden. 
Zur Rechtfertigung wird ökonomisch die Zeitinkonsistenztheorie angeführt, 
die mit der Zentralbankunabhängigkeit eine höhere Glaubwürdigkeit und als 
Folge wiederum die Erwartung einer niedrigeren Inflationsrate verknüpft.’ 
Die Unabhängigkeit soll aber auch vor „jedem politischen Druck“ bewahren, 
„damit sie die für ihre Aufgaben gesetzten Ziele durch die unabhängige Aus- 
übung der spezifischen Befugnisse“ wirksam verfolgen kann.” In der Sache 
sah das Bundesverfassungsgericht im Maastricht-Urteil den Zweck, das Wäh- 
rungswesen dem Zugriff von Interessengruppen und der an einer Wiederwahl 
interessierten politischen Mandatsträger zu entziehen, ebenfalls als gerechtfer- 
tigt an.” Die nunmehr in Art. 88 S. 2 GG normierte Unabhängigkeit erkannte 
das Gericht als eine mit Art. 79 Abs. 3 GG vereinbare Modifikation des Demo- 
kratieprinzips an.” Die Autonomie bezweckt somit letztlich eine Entpolitisie- 
rung zur Sicherstellung der sachrichtigen Entscheidung. 

Bei den Unionsagenturen lässt sich in der Begründung der Unabhängigkeit 
die epistemische Dimension noch deutlicher erkennen. Für die Unabhängigkeit 
der von der Linienorganisation der Staatsverwaltung losgelösten und haupt- 
sächlich in die polyzentrische Verwaltung eingebundenen Unionsagenturen 
wird neben der Trennung von kurzfristigen politischen Zyklen das Generieren 
von Expertise genannt.” So soll etwa die ENISA „als Bezugspunkt fungieren 
und durch die Unabhängigkeit, die Qualität ihrer Beratung und der verbreiteten 
Informationen“ Vertrauen schaffen.””! Der Aspekt einer unabhängigen und da- 
mit qualitativ besseren Sachentscheidung spielt auch bei den Regulierungsbe- 
hörden im Telekommunikationsrecht eine Rolle. Die Mitgliedstaaten haben 
nach Art. 3 Abs. 3 lit. a RL 2002/21/EG°” dafür Sorge zu tragen, dass die Be- 
hörden Befugnisse für die Vorabregulierung des Markts oder für die Beilegung 
von Streitigkeiten zwischen Unternehmen unparteiisch und transparent aus- 
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üben. Bei der Durchführung ihrer Aufgaben sollen die Behörden vor äußerer 
Einflussnahme und politischem Druck geschützt werden, „die sie an der unab- 
hängigen Beurteilung der von ihnen bearbeiteten Angelegenheiten hindern 
könnten.” Gleichgelagert fällt die Argumentation bei einem rechtsverglei- 
chenden Blick für die autorités administratives indépendantes (AAI), die in 
Frankreich zu einem neueren Typus „unabhängiger Verwaltungsbehörde“ gehö- 
ren und als deren Prototyp die französische Datenschutzbehörde Commission 
Nationale de l’informatique et des libertés (CNIL) gilt.”°* Die angestrebte Un- 
parteilichkeit soll dazu dienen, Informationen möglichst objektiv zu sammeln 
und weiterzuleiten, Diskussionen anzuregen, widerstreitenden Interessen Raum 
zu geben und diese in Einklang zu bringen.” 

Im Ergebnis wird einer Behörde rechtliche Unabhängigkeit eingeräumt, da- 
mit sie Aufgaben effektiver wahrnehmen kann, wenn sie keinerlei Einfluss von 
Seiten anderer staatlicher Stellen unterliegt. Effektivität im Zusammenhang ei- 
ner unabhängigen NIS-Behörde hieße mehr Freiraum für den Austausch von 
Informationen und damit im Ergebnis weniger Informationsbegrenzung. Nor- 
mativ angeknüpft werden kann diese These an Art. 8 Abs. 5 NIS-RL. Danach 
haben die Mitgliedstaaten zu gewährleisten, dass die zuständigen Behörden mit 
angemessenen Ressourcen ausgestattet sind, „damit sie die ihnen übertragenen 
Aufgaben wirksam und effizient wahrnehmen können und die Ziele dieser 
Richtlinie somit erreicht werden“. Ausgewiesenes Ziel ist es gemäß Art. 1 Abs. 1 
NIS-RL, ein „hohes gemeinsames Sicherheitsniveau von Netz- und Informati- 
onssystemen in der Union zu erreichen.“ Auf dieses Ziel der Richtlinie sind die 
Mitgliedstaaten gemäß Art. 288 Abs. 3 AEUV verpflichtet. 

Den Mitgliedstaaten ist die Wahl der Form und der Mittel überlassen. Würde 
im Sinne wirksamer Informationsflüsse die Unabhängigkeit der NIS-Behörden 
gefordert, kann nicht von vorneherein dagegen ein allgemeiner Grundsatz der 
organisationsrechtlichen Autonomie der Mitgliedstaaten angeführt werden. Die 
institutionelle Autonomie der Mitgliedstaaten und die verfassungsmäßigen Ver- 
pflichtungen der Mitgliedstaaten sind zwar Schutzgut des Verhältnismäßig- 
keitsgrundsatzes von Art.5 Abs.4 EUV.?° Die Autonomie kann jedoch nur 


33 Erwägungsgrund 13 RL 2009/140/EG. 

34 Vilain, Demokratische Legitimität und Verfassungsmäßigkeit unabhängiger Regulie- 
rungsbehörden, in: Masing/Marcou (Hrsg.), Unabhängige Regulierungsbehörden, 2011, S. 9 
(1). 

35 Vgl. Bericht des Conseil d’Etat, Réflexions sur les autorités administratives indépen- 
dantes, Études et documents du Conseil d’Etat (EDCE) Nr. 52, 2001, S. 427 ff., Lombard, 
Warum bedient man sich im Bereich der Wirtschaft unabhängiger Behörden?, in: Masing/ 
Marcou (Hrsg.), Unabhängige Regulierungsbehörden, 2010, S. 143 (145). 

36 Bast/von Bogdandy, in: Grabitz/Hilf/Nettesheim (Hrsg.), AEUV/EUV, 57. Aufl. 2015, 
EUV, Art. 5 Rn. 66. 
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unter vollständiger Beachtung der in einer Richtlinie festgelegten Ziele und 
Pflichten ausgeübt werden.’ Eine die Wirksamkeit des Unionsrechts gewähr- 
leistende Organisation mitgliedstaatlicher Behörden kann zur Mitwirkungs- 
pflicht der Mitgliedstaaten nach Art. 4 Abs. 3 EUV gezählt werden.”?® 


bb) Verfassungsrechtliche Einwände gegen organisationsrechtliche 
Unabhängigkeit 


Die Prämissen der Überlegung über eine unabhängige NIS-Behörde können al- 
lerdings bezweifelt werden. 

Aus dem Gewaltenteilungsprinzip folgt, dass Gewalt gegenseitig kontrolliert, 
gehemmt und gemäßigt werden muss.°? Dieses Prinzip ist Ausfluss der anthro- 
pologischen Einsicht der Fehlbarkeit von Amtswaltern. Es stellt sich also die 
Frage, wie eine Behörde kontrolliert werden soll, die selbst über eine nicht uner- 
hebliche Menge an sicherheitskritischen Informationen und sensiblen Daten 
verfügt und damit über ein erhebliches Einflusspotenzial. Erkenntnisse aus der 
Regulierungsökonomie deuten darauf hin, dass politisch unabhängige Behör- 
den eigene „Interessen- und Abhängigkeitsstrukturen“ entwickeln können, die 
mit dem Maßstab selbsterzeugter Expertise unvereinbar sind (sog. regulatory 
capture). Die Annahme, dass eine unabhängige Behörde stets völlig frei von 
ökonomischen Interessen ist bzw. diesen nicht ausgesetzt ist, erscheint im Lich- 
te der der NIS-Behörde zustehenden Befugnisse zur Durchsetzung der Sicher- 
heitspflichten (vgl. Art. 15 Abs. 1 und Art. 17 NIS-RL) überdies nicht haltbar. 

Ein Wegfall von Weisungsbefugnissen und die Neutralisierung staatlicher 
Machtbefugnisse zur Versachlichung von Entscheidungen können zwar eine 
Entpolitisierung des Handelns bewirken. Die Berufung auf die Neutralität ist 
aber nicht erhaben über den Zweifel daran, selbst Ergebnis eines ephemeren 
rechtspolitischen Zeitgeists zu sein.°*' Eine bestimmte Interpretation des Rechts 
auf „gute Verwaltung“ im Sinne von Art. 41 GRCh und entsprechend Art. 298 


37 EuGH, C-82/07, Rn. 24. 

38 Kugelmann, VerwArch 98 (2007), 78 (80). 

339 Montesquieu, De l’esprit des lois, 1748, XI, Satz 5: „C’est une experience éternelle que 
tout homme qui a du pouvoir est porté à en abuser; il va jusqu’à ce qu’il trouve des limites.“ 

340 Dazu ViscusilHarrington/Vernon, Economics of Regulation and Antitrust, 4. Aufl. 
2005, S. 379£., vgl. Schuppert, Die Erfüllung öffentlicher Aufgaben der verselbständigten 
Verwaltungseinheiten, 1981, S. 341: „Clientele Capture“; Möllers, Gewaltengliederung - Le- 
gitimation und Dogmatik im nationalen und internationalen Rechtsvergleich, 2005, S. 122. 

341 Gleiches gilt auch für die wirtschaftliche Erkenntnis; vgl. für die „goal independence“ 
der ESZB, Herdegen, CMLR 1998, 9 (15): „Economic wisdom is what economic science in a 
given moment suggest as economically sound. Freezing institutional rules and substantive 
principles on this basis implies an obvious risk which is inherent in all dictates of economic 
wisdom: subsequent falsification [...].“ 
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AEUV birgt die Gefahr, dass Teilinteressen zum Interesse des Ganzen und da- 
mit zum Gemeinwohl aufgewertet werden.’ Das Argument der Expertise be- 
ruht nicht zuletzt auf der Annahme der Möglichkeit freien und unpolitischen 
wissenschaftlichen Expertenwissens. Diese Voraussetzung ist in der Wissen- 
schaftstheorie ohnehin mittlerweile schon im Rückzug begriffen.°® Wird aber 
die geforderte Unparteilichkeit daran bemessen, wie sie ein Allgemeininteresse 
absichern oder berücksichtigen kann, dann ist eigentlich die Verwaltung umso 
unparteiischer, je stärker sie politisch rückgebunden ist an eine Institution, die 
selbst durch demokratische Wahlen legitimiert ist.” 

Die Frage der Unabhängigkeit der NIS-Behörde kann letztlich selbst als poli- 
tische Frage angesehen werden. Bei der Beantwortung derartiger Fragen kann 
das Recht in Ermangelung klarer Maßstäbe für eine angemessene Sachbefas- 
sung funktionell überfordert werden. Dies spricht für eine Zurückhaltung beim 
Treffen von Aussagen. Diesem Ansatz soll hier gefolgt werden. Im Übrigen 
folgt auch aus dem Begriff der Netz- und Informationssicherheit nicht, die 
NIS-Behörde institutionell unabhängig auszugestalten. 

Die Prüfung der Unabhängigkeit der Datenschutzaufsicht durch den Europä- 
ischen Gerichtshof war zulässig, weil das Primärrecht die Unabhängigkeit vor- 
gibt (Art. 8 Abs. 1 GRCH, Art. 16 Abs. 2 UAbs. 1 S.2 AEUV). Dagegen ist die 
Unabhängigkeit der NIS-Behörde weder ein Gebot von Verfassungsrang, noch 
folgt sie aus dem Sekundärrecht. Art. 8 Abs. 5 NIS-RL verpflichtet die Mit- 
gliedstaaten auf das Ziel, die NIS-Behörden so auszustatten, dass diese wirk- 
sam ihre Pflichten erfüllen können. Zum Erreichen dieses Ziels ist die Unabhän- 
gigkeit, anders als in Art. 52 DS-GVO für die Datenschutzaufsicht, gerade nicht 
gefordert. 

Sie kann auch nicht aus den Schutzzielen der Netz- und Informationssicher- 
heit abgeleitet werden, die zu erreichen die Mitgliedstaaten verpflichtet sind. 
Bereits in der Begriffsbestimmung wird der Begriff der Sicherheit verstanden 
als „die Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten 
Vertrauensniveau alle Angriffe abzuwehren“ (Art.4 Nr.2 NIS-RL). Ebenso 
zielt die NIS-RL als solche nicht auf die Gewährleistung größtmöglicher Sicher- 
heit, sondern auf ein „hohes gemeinsames Sicherheitsniveau“ (Art. 1 Abs. 1 
NIS-RL). Die Begriffsbestimmung setzt das Ziel der Sicherheit nicht absolut 
und lässt Raum für die Verfolgung anderer rechtsstaatlicher Zwecke, auch wenn 


342 Vgl. Waechter, Geminderte demokratische Legitimation staatlicher Institutionen im 
parlamentarischen Regierungssystem, 1994, S. 253, 255. 

33 Nachweise bei Möllers, Gewaltengliederung — Legitimation und Dogmatik im natio- 
nalen und internationalen Rechtsvergleich, 2005, S. 122 (Fn. 154). 

34 Lombard, Warum bedient man sich im Bereich der Wirtschaft unabhängiger Behör- 
den?, in: Masing/Marcou (Hrsg.), Unabhängige Regulierungsbehörden, 2010, S. 143 (145). 
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darauf gestützte Maßnahmen die Schutzziele der Netz- und Informationssicher- 
heit durch den heimlichen Zugriff auf ein informationstechnisches System bei 
Ausnutzen einer Sicherheitslücke oder über die Installation eines Spähpro- 
gramms verletzen. Ein solcher Zweck kann die effektive Strafverfolgung sein. 
Die vollständige Wahrheitsermittlung im Strafverfahren und die wirksame 
Aufklärung gerade schwerer Straftaten ist ein wesentlicher Auftrag in einem 
rechtsstaatlichen Gemeinwesen.”® Wenn das BSI an der technischen Überprü- 
fung fernforensischer Software mitwirkt und es unterlässt, über den Schutz da- 
gegen zu informieren, so dient dies nicht zuletzt der Erfüllung der Auflagen, die 
das Bundesverfassungsgericht in seinem Urteil zur Online-Durchsuchung an 
eine solche staatliche Software aufstellte. Selbst ohne konkrete Missbrauchs- 
absicht von den Mitarbeitern der Behörden stellt bereits das Vorhandensein ei- 
ner solchen Einrichtung eine Schwächung der IT-Sicherheit dar.”*° Es ist daher 
sogar rechtlich geboten, dass das BSI die IT-Sicherheit einer solchen staatlichen 
Software prüft. Das gleiche trifft für Sicherheitsinformationen zu, die gleich- 
sam für Nachrichtendienste von Bedeutung sind. Auch hier ist das Interesse an 
der Informationsweitergabe durch die NIS-Behörde an andere europäische oder 
mitgliedstaatliche NIS-Behörden zum Zweck der Gewährleistung der Netz- und 
Informationssicherheit nicht von vorneherein höher zu bewerten als das Interes- 
se der Nachrichtendienste an ihrer Aufgabenerfüllung, für die sie auf strategi- 
sche Informationen über Schwachstellen in informationstechnischen Systemen 
angewiesen sind. 


cc) Veröffentlichung von Weisungen als Gestaltungsoption 


Um ein wirksames informationsverwaltungsrechtliches Handeln im Sinne der 
Netz- und Informationssicherheit zu gewährleisten, kommt als Gestaltungs- 
option die Transparenz von Weisungen in Betracht, wie dies $ 117 TKG für die 
Bundesnetzagentur vorsieht. Die Behörde ist zwar eine selbstständige Bundes- 
oberbehörde im Geschäftsbereich des Bundesministeriums für Wirtschaft und 
Technologie, $ 1 S.2 BEGTPG.’” Da $ 117 TKG ausdrücklich die Weisungs- 
möglichkeit einschließt, wird angenommen, dass das Ministerium als überge- 
ordnete oberste Bundesbehörde im Wege der Rechts- und Fachaufsicht mit (Ein- 
zel-)Weisungen tätig werden kann.’*® Allerdings sind die erteilten Weisungen 


345 BVerfGE, 129, 208 (260). 

346 BVerfGE 120, 274 (325 f). 

347 Gesetz über die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post 
und Eisenbahnen vom 7. Juli 2005 (BGBl. I S. 1970, 2009), das zuletzt durch Art. 2 des Ge- 
setzes vom 26. Juli 2011 (BGBl. I S. 1554) geändert worden ist. 

348 Geppert, in: ders./Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, $ 117 Rn. If. 
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nach $ 117 TKG bzw. § 61 EnWG zu veröffentlichen. Es wird angenommen, 
dass dieses Transparenzerfordernis das zuständige Bundesministerium weitge- 
hend davon abhält, von seiner Befugnis Gebrauch zu machen.?® Insofern ist die 
Bundesnetzagentur nicht de jure, aber zumindest de facto weisungsfrei, ohne 
dass die Kontrollmöglichkeit als Basis demokratischer Legitimation entfällt." 


IV. Informationsverweigerungsrecht der Mitgliedstaaten zur 
Wahrung wesentlicher Sicherheitsinteressen 


Die mit der Informationskooperation verfolgten Anliegen können mit den legi- 
timen Sicherheitsinteressen der Mitgliedstaaten in einem Spannungsverhältnis 
stehen. Dieses in Informationsbeziehungen auszugleichen ist Zweck des 
Art. 346 AEUV, der den Mitgliedstaaten nach Abs. 1 lit. a ein Auskunftsverwei- 
gerungsrecht gewährt.”°! Dieses Recht ist als „praktisch nicht sehr bedeutsam“ 
bezeichnet worden.” Im europäischen NIS-Informationsaustausch kann das 
Auskunftsverweigerungsrecht ein zentraler Hebel sein, den Informationsaus- 
tausch zu beschränken. 

Die Mitgliedstaaten können sich mit Art. 346 Abs. 1 lit.a AEUV auf einen 
Rechtfertigungsgrund berufen, der dazu berechtigt, bei Vorliegen der Voraus- 
setzungen zur Wahrung ihrer wesentlichen Sicherheitsinteressen sich über die 
Verpflichtungen und die Prinzipien des Unionsrechts begrenzt hinwegzuset- 
zen.’” Für die Gemeinsame Außen- und Sicherheitspolitik bestehen mit dem 
Kohärenzgebot des Art. 21 Abs. 3 UAbs. 2 EUV eigene konflikthemmende Re- 
gelungen. Die Integration der GASP in das Unionsrecht und die Verzahnung der 
Wirtschafts- mit der Sicherheitspolitik (inkl. der verteidigungsrelevanten In- 


39 Hermes, Abhängige und unabhängige Verwaltungsbehörden, in: Masing/Marcou 
(Hrsg.), Unabhängige Regulierungsbehörden, 2010, S. 53 (77). 

30 Ludwigs, Die Verwaltung 44 (2011), 41 (43); Masing, Unabhängige Behörden und ihr 
Aufgabenprofil, in: Masing/Marcou (Hrsg.), Unabhängige Regulierungsbehörden, 2010, 
S. 181 (197). Dass die Bundesnetzagentur nicht de jure weisungsfrei ist, verstößt aber gegen 
die „völlige Unabhängigkeit“ des Bundesbeauftragten für Datenschutz und Informationsfrei- 
heit, weil dieser sich an die Bundesnetzagentur wenden muss ($ 115 Abs. 4 TKG), um daten- 
schutzrechtliche Sanktionen gegen Unternehmen zu bewirken, Thome, VUR 2015, 130 (133); 
Schaar, MMR 2014, 641 (642). 

31 GA Mazák, Rs. C-337/05, Rn. 56. Die kumulative Berufung auf andere Sicherheitsvor- 
behalte des Primärrechts wie Art. 35, 45 Abs. 3, 2, 62, 65 und 72 AEUV wäre möglich. Diese 
betreffen aber nicht vorrangig den Austausch von Informationen. 

352 So Jaeckel, in: Grabitz/Hilf/Nettesheim (Hrsg.), AEUV/EUV, 57. Aufl. 2015, AEUV, 
Art. 346 Rn. 16. 

33 Vgl. EuGH, Rs. C-414/97, Rn. 21 ff.; Jaeckel, in: Grabitz/Hilf/Nettesheim (Hrsg.), 
AEUV/EUV, 57. Aufl. 2015, AEUV, Art. 346 Rn. 3. 
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dustrien) machte weitergehende Konfliktlösungsmechanismen erforderlich. 
Art. 346 AEUV ermöglicht den Mitgliedstaaten unilaterale Schutzmaßnahmen. 

Als Ausnahme ist die Vorschrift bei systematischer Betrachtung eng auszule- 
gen.’ Dies betrifft zum einen die Funktion der Vorschrift als auch die Last der 
Obliegenheit der Mitgliedstaaten. Der Vorschrift ist kein Kompetenzvorbehalt 
zu entnehmen.” Die Vorschrift wirkt auch nicht als Regelungsvorbehalt, so- 
dass alle Maßnahmen im Bereich der Netz- und Informationssicherheit im Rah- 
men der Kompetenzen möglich sind. Den Mitgliedstaaten wird lediglich eine 
Derogationsbefugnis gewährt.” Die Bestimmung beinhaltet schließlich keinen 
allgemeinen Vorbehalt der Außen- und Sicherheitspolitik zugunsten der Mit- 
gliedstaaten.7 

Das Recht, Informationen zurückhalten zu können, setzt zunächst Auskunfts- 
pflichten voraus. Damit sind die bereits beschriebenen Pflichten zur Übermitt- 
lung von Informationen gemeint, also primärrechtlich insbesondere der Grund- 
satz aus Art.4 Abs.3 EUV und die Auskunftspflicht gemäß Art. 337 AEUV, 
aber auch die sekundärrechtlichen Bestimmungen, °® folglich auch die zur Ge- 
staltung der NIS-Kooperation.”” Umfasst sind die Informationspflichten vor- 
rangig gegenüber der Union, es kommen aber ebenso Informationspflichten 
gegenüber anderen Mitgliedstaaten und sogar gegenüber Einzelnen sowie der 
Öffentlichkeit in Betracht." 

Die Mitgliedstaaten sind nur unter bestimmten Voraussetzungen durch 
Art. 346 AEUV berechtigt, sich zur Wahrung wesentlicher Sicherheitsinteres- 
sen über die Verpflichtungen und Prinzipien des Unionsrechts hinwegzuset- 
zen.°°! Den Mitgliedstaaten kommt eine Einschätzungsprärogative („seines Er- 
achtens‘“) bei der Bestimmung der Sicherheitsinteressen und bei der Frage zu, 
ob diese beeinträchtigt oder gefährdet sind.’ Stark in die Vorschrift hinein 


354 Vgl. EuGH, Rs. C-38/06, Rn. 63. 

355 Kokott, in: Streinz (Hrsg.), EUV/AEUV, 2. Aufl. 2012, AEUV, Art. 346 Rn. 1. 

356 Kokott, in: Streinz (Hrsg.), EUV/AEUV, 2. Aufl. 2012, AEUV, Art. 346 Rn. 3. 

37 EuGH, C-337/05, Rn. 42 ff. - Kommission/Italien; Eikenberg, ELR 25 (2000), 117 (119). 

38 Dittert, in: von der Groeben/Schwarze/Hatje (Hrsg.), Europäisches Unionsrecht, 
Band 4, 7. Aufl. 2015, AEUV, Art. 346 Rn. 9; NIS-RL, Erwägung 8. 

359 Während der Kommissionsentwurf der NIS-RL Art. 346 AEUV das Primärrecht nur 
deklaratorisch in Erwägungsgrund 8 nannte, verweist die Richtlinie bereits in den allgemei- 
nen Bestimmungen in Art. 1 auf dieses. 

360 Kokott, in: Streinz (Hrsg.), EUV/AEUV, 2. Aufl. 2012, AEUV, Art. 346 Rn. 6. 

361 Vgl. EuGH, Rs. C-414/97, Rn. 21ff.; Jaeckel, in: Grabitz/Hilf/Nettesheim (Hrsg.), 
AEUV/EUV, 57. Aufl. 2015, AEUV, Art. 346 Rn. 3. 

362 Wegener, in: Calliess/Ruffert (Hrsg.), EUV/AEUV, 4. Aufl. 2011, AEUV, Art. 346 
Rn. 3; Jaeckel, in: Grabitz/Hilf/Nettesheim (Hrsg.), AEUV/EUV, 57. Aufl. 2015, AEUV, 
Art. 346 Rn. 3. 
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wirkt Art. 4 Abs. 2 S. 2 und 3 EUV. Die Union trifft für bestimmte Schutzgüter 
eine Achtungsverpflichtung, zu denen in der Staatsfunktionengarantie auch der 
Schutz der nationalen Sicherheit gehört. Die Rechtmäßigkeit der Auskunftsver- 
weigerung unterliegt der gerichtlichen Kontrolle des Gerichtshofs nach Art. 348 
Abs. 2 S.2 AEUV unter Ausschluss der Öffentlichkeit. Das vorgesehene Kon- 
sultationsverfahren mit der Kommission macht deutlich, dass die Wettbewerbs- 
bedingungen auf dem Binnenmarkt möglichst unverfälscht bleiben sollen. Es 
obliegt dem Mitgliedstaat zu beweisen, dass die Verweigerung der Wahrung der 
Sicherheitsinteressen dient. Der pauschale Hinweis auf Sicherheitsinteressen 
genügt dabei nicht.” Vor allem muss der verweigernde Mitgliedstaat glaubhaft 
machen, warum zu befürchten ist, dass die unbefugte Weitergabe der NIS-rele- 
vanten Informationen an Dritte zu befürchten ist. 

Von dem Begriff der Sicherheitsinteressen ist sowohl die äußere als auch die 
innere Sicherheit erfasst.”°* Ob eine Information die Abwehr einer Bedrohung 
von außen betrifft, die gegen den Staat und seine Entwicklungsfähigkeit gerich- 
tet ist, oder ob eine Gefahr ihren Ursprung innerhalb eines Staates hat, lässt sich 
kaum oder nur mit starken forensischen Mitteln beurteilen. Informationen über 
Schwachstellen in Netz- und Informationssystemen können gerade bei kriti- 
schen Infrastrukturen sowohl militärisch als auch terroristisch ausgenutzt wer- 
den. Ausgeschlossen sind zumindest solche Maßnahmen und Aussageverweige- 
rungen als nicht gerechtfertigt, die wirtschaftspolitisch motiviert sind oder fi- 
nanzielle Ziele verfolgen.“ 

Art. 346 AEUV erweist sich damit als Flaschenhals für die Begrenzung von 
Informationsflüssen in der europäischen NIS-Kooperation. Das Zusammenspiel 
von Art. 4 Abs. 2 S.2 EUV und Art. 346 AEUV weist den Mitgliedstaaten ein 
weites Ermessen bei der Anwendung der Norm zu. Die Ausübung des Rechts 
unterliegt aber dem unionsrechtlichen Grundsatz der Verhältnismäßigkeit und 
ist gerichtlich überprüfbar. Insgesamt steht Art. 346 AEUV einem digitalisier- 
ten, automatisierten und integrierten Informationsaustausch nicht strukturell 
entgegen. Die Mitgliedstaaten müssen die Verweigerung im Einzelfall begrün- 
den und können den Austausch nicht pauschal unter Verweis auf Art. 346 
AEUV blockieren. Das mitgliedstaatliche Bedürfnis, von Art. 346 AEUV Ge- 
brauch machen zu können, setzt die Prüfung der Informationen voraus, was 
tendenziell den Informationsaustausch entschleunigt. 


363 GA Mazák, Schlussanträge in der Rs. C-337/05, Rn. 58. 

364 EuGH, C-285/98, Rn. 17. 

365 Jaeckel, in: Grabitz/Hilf/Nettesheim (Hrsg.), AEUV/EUV, 57. Aufl. 2015, AEUV, 
Art. 346 Rn. 15. 
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D. Zwischenergebnis 


Der unionsweite Austausch der generierten und ausgewerteten Informationen 
ist als zentrale Funktionsbedingung für die europäische Internetsicherheit zu 
nennen. Die Kooperation ist auf Zusammenarbeit und den Austausch von Infor- 
mationen ausgerichtet und demnach als Lernverbund angelegt. Die Informa- 
tionskooperation zur Gewährleistung der Sicherheit von Netzen und Informa- 
tionssystemen erfüllt eine Kompensations- eine Sicherheits- und eine Auffang- 
funktion. Sie kompensiert vor allem den grenzüberschreitenden Charakter der 
Sicherheitsgefahren, die Internetinfrastrukturen und -dienste beeinträchtigen 
können. Gefahren auf europäischer Ebene ergeben sich insbesondere aus der 
Interdependenz der Infrastrukturen. Insofern kann Zusammenarbeit fehlende 
nationale Vollzugskompetenzen und -instrumente kompensieren. Sie fungiert 
als Sicherheitsnetz, weil Strukturen geschaffen werden, die den Mitgliedstaaten 
einen Austausch über sicherheitsrelevante Informationen ermöglichen und so 
das Ergreifen von Schutzmaßnahmen erlauben. Eine Auffangfunktion über- 
nimmt die Informationskooperation insofern, als NIS-Akteure aus einem Mit- 
gliedstaat auf einen größeren Wissenstand zurückgreifen können. Auf Ein- 
griffsbefugnisse im eigentlichen Sinne kann die europäische Verwaltung aller- 
dings nicht zurückgreifen. 

Der europäische Informationsaustausch ist organisatorisch entlang der aus 
der IT-Sicherheit bekannten Strukturprinzipien zur Gefahrenabwehr Detektion, 
Prävention und Reaktion ausgestaltet. Die strategische Kooperation, die über 
die NIS-Kooperationsgruppe stattfindet, ist den ersten beiden Kategorien zuzu- 
ordnen, die operative Kooperation durch das CSRITs-Netzwerk bezweckt eine 
koordinierte Reaktion auf Sicherheitsvorfälle. Betonung findet auf europäischer 
Ebene der Austausch von Wissen, Erfahrung und bewährten Praktiken, der es 
erlaubt, sowohl nationale als auch europäische Kapazitäten aufzubauen. Reali- 
siert wird dieser Austausch informell oder im Wege von Berichts- und Konsul- 
tationspflichten. Konsultationspflichten tragen dem Umstand Rechnung, dass 
die Gewährleistung der Netz- und Informationssicherheit mit besonders instabi- 
len Wissensverhältnissen umgehen muss und prozedurale Strukturen die situa- 
tionsangepasste Weiterentwicklung der Informationen ermöglichen müssen. 
Die formalisierten Wissensaustauschverfahren dienen als „Osmose“ zum einen 
dem Rückgriff auf die besondere Fachkunde anderer Behörden, um Wissensde- 
fizite auszugleichen. Zum anderen geht es über den Gewinn eines fehlenden 
Tatsachenwissens hinaus um die aktive und diskursive Mitgestaltung der Ab- 
wägungsprozesse und Praxis der Sicherheitsgewährleistung. 

Eine verfahrensrechtlich dichtere Ausgestaltung besteht für den Austausch 
von hochsensiblen Informationen über konkrete Sicherheitsrisiken und -vorfäl- 
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le. Neben der Amtshilfe in Gestalt der Informationshilfe haben dabei spezielle 
Informationspflichten Bedeutung. Die nationalen NIS-Behörden informieren 
einen anderen Mitgliedstaat insbesondere dann, sofern ein gemeldeter Sicher- 
heitsvorfall erhebliche Auswirkungen auf die Verfügbarkeit eines wesentlichen 
oder digitalen Dienstes in jenem Mitgliedstaat hat (Art. 14 Abs. 5, Art. 16 Abs. 6 
NIS-RL). Im deutschen Recht besteht für den Informationsaustausch auf hori- 
zontaler Ebene diesbezüglich legislativer Klarstellungsbedarf, zumal $ 8d Vw- 
VfG nur bei Ablauf der Umsetzungsfrist der NIS-Richtlinie Anwendung finden 
kann. In der operativen Informationskooperation ist im Kern ein europäischer 
Frühwarn- und Reaktionsmechanismus angelegt. Es ist indes primär Aufgabe 
des CSIRTs-Netzwerks, ein Verfahren zur unionsweiten Weitergabe dringlicher 
Informationen zu explorieren. Als Katalysator für den Aufbau einer europäi- 
schen CSIRT-Gemeinschaft wirkt die ENISA, deren Mandat unter anderem da- 
rin besteht, die Lücke zwischen der technischen Orientierung der CSIRTs und 
den politischen Zielen der Kommission zu schließen. Eine operative Rolle über- 
nimmt die Agentur jedoch nicht. 

Bei Sicherheitsvorfällen in wesentlichen Diensten, die zur Verletzung des 
Schutzes personenbezogener Daten führen, hat die nationale NIS-Behörde bei 
der Bearbeitung mit den Datenschutzbehörden zusammenzuarbeiten (Art. 15 
Abs. 4 NIS-RL). Da sich das Kooperationsgebot nur auf Sicherheitsvorfälle bei 
wesentlichen Diensten bezieht, liegt es hier beim nationalen Gesetzgeber, das 
allgemeine Zusammenarbeitsgebot aus Art. 8 Abs. 6 der NIS-RL auch für Si- 
cherheitsvorfälle bei digitalen Diensten zu spezifizieren, damit die Meldeinfor- 
mationen über IT-Sicherheitsvorfälle mit Betroffenheit personenbezogener Da- 
ten zusammenlaufen. 

Der übergreifende Ordnungsrahmen wird vor allem durch den unionsrecht- 
lich kodifizierten Grundsatz der loyalen Zusammenarbeit geprägt. Aus diesem 
resultiert nicht nur eine allgemeine Rücksichtnahmepflicht, sondern auch eine 
allgemeine Kooperationspflicht mit wechselseitigen Informationspflichten. Aus 
dem Grundsatz bzw. aus der Verbindung einer Hauptpflicht mit diesem folgen 
auch Anforderungen an die inhaltliche Qualität von Informationen. Diese soll- 
ten im Grundsatz anschlussfähig (actionable) verlässlich (reliable) und hand- 
habbar (manageable) sein. 

Als kritische Rahmenbedingungen für einen gelungenen Wissenstransfer 
können gegenseitiges Vertrauen und sichere technische Rahmenbedingungen 
für den Informationsaustausch hervorgehoben werden. Wo der Austausch nicht 
durch Pflichten angeleitet wird, spielt die gegenseitige, subjektive Einschätzung 
der Kommunikationspartner eine gewichtige Rolle. Neben sozialen Faktoren 
wie Integrität, Kompetenz, Erreichbarkeit, Verlässlichkeit, Diskretion, Reputa- 
tion, kulturellem Hintergrund und Sprachbarrieren hat Vertrauen in der NIS- 
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Kooperation eine technische Dimension. Die NIS-Richtlinie schafft mit dem 
Aufbau von Plattformen und eines Rechtsrahmens für den Informationsaus- 
tausch eine Basis der Erwartungsstabilisierung. Die Schaffung konkreterer 
Vertrauensquellen ist allerdings zu einem großen Teil Sache der Mitgliedstaa- 
ten. Die Gewährleistung der Sicherheit der Kommunikationsinfrastruktur so- 
wohl der NIS-Kooperationsgruppe als auch der CSIRTs-Netzwerke ist den Mit- 
gliedstaaten überlassen. 

Der grenzüberschreitende Austausch personenbezogener Daten ist rechtferti- 
gungsbedürftig. Soweit keine fachgesetzlichen Übermittlungsvorschriften grei- 
fen, kann auf das allgemeine europäische Datenschutzrecht rekurriert werden. 
Spätestens mit der Datenschutzgrundverordnung besteht ein einheitlicher Da- 
tenverwendungsraum, der zumindest bestehende datenschutzrechtliche Bin- 
nendifferenzierungen hinfällig macht. Soweit das allgemeine Datenschutzrecht 
Anwendung findet, sind auch Zweckänderungen für die Verwendung der gene- 
rierten und ausgetauschten Daten denkbar. Für die beim BSI vorhandenen si- 
cherheitsrelevanten Daten über kritische Infrastrukturen besteht eine spezialge- 
setzliche Zweckbindung. Von der Zweckbindung kann bei näherer Betrachtung 
auch die Weitergabe der Daten an andere zuständige Aufsichtsbehörden umfasst 
sein. Wird auf den Zweck der Verarbeitung bei der empfangenden Stelle abge- 
stellt, dürfte die Übermittlung personenbezogener Daten an andere europäische 
Stellen erlaubt sein. 

Der Schutz unternehmensbezogener Daten im Rahmen des auf der NIS-Richt- 
linie beruhenden Informationsaustausches zeichnet sich durch eine geringe Re- 
gelungsdichte aus. Nach der Regelungstechnik der Richtlinie richtet sich der 
Schutz zu einem maßgeblichen Teil nach dem Recht der nationalen übermitteln- 
den Behörde. Sofern eine Befugnisnorm zur Übermittlung geschützter Daten 
gefordert wird, findet sich eine ausdrückliche Regelung dafür weder für das BSI 
noch für die Bundesnetzagentur. Bestehende Regelungen, insbesondere solche 
im Telekommunikationsrecht, beziehen sich nicht auf den Austausch im Rah- 
men der europäischen Kooperation im Bereich NIS. Die daraus resultierende 
Rechtsunsicherheit und die geringe Regelungsdichte stellen ein grundsätzliches 
Hindernis für einen Austausch sensibler Informationen dar. 

Weniger Unwägbarkeiten ergeben sich aus dem den Informationsaustausch 
begrenzenden Organisationsrecht. Zu den besonderen organisationsrechtlichen 
Begrenzungen, die den Informationsaustausch betreffen können, gehört in 
Deutschland das Trennungsprinzip. Dem Austausch von Informationen im Na- 
tionalen Cyber-Abwehrzentrums steht das Trennungsprinzip allerdings solange 
nicht im Wege, wie personenbezogene Daten nicht zwischen Polizei und Nach- 
richtendienst ausgetauscht werden. Der Austausch allgemeiner Kenntnisse, 
technischer Informationen oder Informationen über Sicherheitslücken ist grund- 
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sätzlich zulässig. Für den Austausch personenbezogener Daten gilt indes ein 
informationelles Trennungsprinzip. Der Austausch zwischen Nachrichten- 
diensten und Polizei muss einem herausragenden öffentlichen Interesse dienen. 
Insofern sind für den Informationsaustausch des Bundesnachrichtendiensts mit 
NIS-Behörden geringere Anforderungen zu stellen, soweit diese von keinen 
Vollzugs- und Zwangsbefugnissen Gebrauch machen dürfen. 

Die Mitgliedstaaten haben zu gewährleisten, dass die zuständigen NIS-Be- 
hörden ihre Aufgaben wirksam und effizient wahrnehmen können. Dabei stellt 
sich die Frage, ob die organisationsrechtliche Weisungsabhängigkeit der Behör- 
den den Austausch von sicherheitskritischen Informationen begrenzen würde, 
weil die weisungsbefugte Stelle zur NIS-Behörde gegenläufigen Interessen ver- 
folgen könnte, insbesondere dann, wenn sie gegenüber anderen Sicherheits- 
behörden, die nicht den Schutzzielen der Gewährleistung der Netz- und Infor- 
mationssicherheit verpflichtet sind, gleichfalls weisungsbefugt ist. Die Unabhän- 
gigkeit ließe sich sachlich mit einer höheren Objektivitätund einem wirksameren 
Informationsaustausch rechtfertigen, wobei die Legitimation an den sachrichti- 
gen Ergebnissen des Verwaltungshandelns gemessen werden könnte (Out- 
put-Legitimation). Eine unabhängige Behörde wäre etwa nicht daran gehindert, 
Informationen über kritische Sicherheitsschwachstellen anderen NIS-Behörden 
zu übermitteln, wenn sie nicht auch strategische Interessen derjenigen Sicher- 
heitsbehörden zu berücksichtigen hätte, die für ihre Aufgabenerfüllung auf 
eben diese Sicherheitsschwachstellen angewiesen sind. Gegen die Weisungsun- 
abhängigkeit einer Behörde lässt sich aber insbesondere mit Erkenntnissen aus 
der Regulierungsökonomie vorbringen, dass unabhängige Behörden durchaus 
auch eigene, dysfunktionale Interessen- und Abhängigkeitsstrukturen entwi- 
ckeln können, die konträr zur eigenen Expertise stehen (regulatory capture). 
Eine abschließende Bewertung der Unabhängigkeit würde im Übrigen in Er- 
mangelung eines verfassungsrechtlichen Maßstabs, anders als bei der Unabhän- 
gigkeit der Datenschutzaufsichtsbehörden, das Informationsverwaltungsrecht 
überfordern. 

Als primärrechtliche Begrenzung des Informationsaustausches auf europäi- 
scher Ebene ist schließlich Art. 346 AEUV zu beachten. Die Berufung auf das 
Auskunftsverweigerungsrecht kommt vor allem bei sicherheitsrelevanten Infor- 
mationen infrage, die kritische Infrastrukturen betreffen, deren Kritikalität in 
der Bedeutung für die öffentliche bzw. nationale Sicherheit begründet ist. Zwar 
steht den Mitgliedstaaten ein weiter Ermessenspielraum zu, in dem sie von ih- 
rem Recht Gebrauch achen können. Die Ausübung des Rechts ist aber für jeden 
Einzelfall zu begründen und am Maßstab der Verhältnismäßigkeit zu messen. 
Der Aufbau eines automatisierten Informationsaustausches im Rahmen eines 
automatisierten Informationssystems steht dem aber nicht prinzipiell entgegen. 


$ 5 Distribution von Informationen über die Netz- 
und Informationssicherheit 


Die Untersuchung konzentrierte sich bislang darauf, wie öffentliche Stellen Da- 
ten und Informationen gewinnen können, um epistemischen Unsicherheiten zu 
begegnen, und wie die gewonnenen Informationen national und im Rahmen des 
europäischen NIS-Kooperationsnetzes weitergegeben werden, damit europa- 
weit die Sicherheit im Cyberspace erhöht werden kann. Die dabei ausgearbeite- 
ten Ergebnisse zeigen, dass die staatlichen wie europäischen Stellen im Rahmen 
des NIS-Kooperationsnetzes in einem beachtlichen Ausmaß Informationen und 
Daten aggregieren können. Das Informationsverwaltungsrecht als Informations- 
allokationsrecht betrachtet Informationen als Ressource, die als Steuerungs- 
faktor eingesetzt werden kann. Es stellt sich die Frage, wie das kognitive Poten- 
zial dieses öffentlichen Informationspools bei den Privaten, d.h. den Anwen- 
dern, Nutzern und Unternehmen, genutzt werden kann, um die Internetsicherheit 
besser zu gewährleisten. 

Im nachfolgenden Kapitel soll daher untersucht werden, wie der Staat und die 
Europäische Union als Informationsmittler auftreten können, um ihre Pflicht 
zur Gewährleistung der Internetsicherheit durch die Weitergabe von Informa- 
tionen zu erfüllen. Dabei stehen nicht so sehr verfassungsrechtliche und demo- 
kratietheoretische Überlegungen im Vordergrund. Im Fokus steht vielmehr die 
Erkenntnis, dass das Wissen in der Informationsgesellschaft fragmentiert und 
zerstreut vorliegt und es gesamtgesellschaftlich sinnvoller sein kann, Informa- 
tionen möglichst breit zu distribuieren, statt sie zentral zu akkumulieren und 
ggf. selbst zu verwerten.! Die Frage ist also, was die informationsverwaltungs- 
rechtlichen Mittel und Pflichten zur Distribution von Wissen und Informationen 
zur Netz- und Informationssicherheit sind. 

Da sicherheitskritische Informationen nicht einseitig und pauschal sicher- 
heitsfördernd distribuiert werden können, sondern mit spezifischen Belangen, 
multipolaren Interessen, Konflikten und Konkurrenzen verbunden sind, ist zu- 
nächst zu bestimmen, welche Rolle die Information von Privaten in der Sicher- 


! Vgl. Schoch, Diskussionsbeitrag, in: VVDStRL 63 (2004), S. 442 (443); Augsberg, In- 
formationsverwaltungsrecht, 2014, S. 216. 
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heitsgewährleistung einnehmen kann (A.). Die eigentliche Distribution kann auf 
verschiedene Weisen vollzogen werden.” Rechtssystematisch kann eine Zwei- 
teilung staatlicher Informationstätigkeit in aktives und reaktives Informations- 
handeln zugrunde gelegt werden. Aktives staatliches Informationshandeln ist 
dadurch gekennzeichnet, dass öffentliche Stellen von sich aus proaktiv die Öf- 
fentlichkeit oder einzelne Betroffene bzw. Interessierte informieren (B.). Infor- 
mationsdistribution ist keineswegs ein paternalistischer Ansatz. Denn staatliche 
Stellen können auch zu reaktivem Informationshandeln verpflichtet sein, wenn 
Private von sich aus am staatlichen Wissen oder den vorhandenen Informatio- 
nen partizipieren möchten (C.). 


A. Funktion der Informationsdistribution 
für die Sicherheitsgewährleistung 


Informationsdistribution betrifft das nach außen hin gerichtete Informations- 
verwaltungsrecht, d.h. die Kommunikativität des Rechtssystems und demnach 
die Informationsaustauschbeziehung mit Privaten.’ Der Grundgedanke der In- 
formationsdistribution, das „kognitive Kapital der Gesamtgesellschaft“ durch 
neue informationelle Möglichkeiten und dadurch entstehende neue Informatio- 
nen in der Summe steigen zu lassen,* lässt sich auf die Gewährleistung der In- 
ternetsicherheit anwenden. Staatliche Informationstätigkeit kann die Anwender, 
Nutzer, Betreiber oder Anbieter durch gezielte Informationen auf abstrakte oder 
konkrete Sicherheitsprobleme und Gefahren hinweisen (I.). Erhöhte Transpa- 
renz über Informationen mit Sicherheitsbezug kann ein Gegengewicht zu den 
mit der Zurück- und Geheimhaltung von Informationen verbundenen Gefahren 
für die Sicherheit schaffen und so zur Sicherheit von Informationstechnik und 
IT-Produkten beitragen (II.). Der Zugang zu Informationen erlaubt eine wirt- 
schaftliche Weiterverwendung der Daten, sodass durch die damit ermöglichte 
Rekombination von Informationen neue (kommerzielle) Sicherheitslösungen 
entwickelt werden können (IIl.). 


2 Vgl. Schoch, AfP 2010, 313 (315); ders., IFG, 2009, Einl. Rn. 109; Caspar, DÖV 2013, 
371 (371 ff). 

3 Quabeck, Dienende Funktion des Verwaltungsverfahrens und Prozeduralisierung, 2010, 
S. 225 f.; zum Begriff der Kommunikation § 2 C. H. 3. 

4 Augsberg, Informationsverwaltungsrecht, 2014, S. 198. 
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Informationelles Handeln des Staates ist eine Handlungsform, die nicht erst mit 
dem Informationszeitalter aktuell wurde, sondern seit jeher praktiziert wird.’ 
Staatliche Informationstätigkeit erfüllte schon immer eine Funktion für den 
Staat. Neben der Aufklärung, Erziehung und politischen Steuerung diente sie 
der Selbstdarstellung absolutistischer Fürsten oder der Propaganda. 

Das Bundesverfassungsgericht hat die Öffentlichkeitsarbeit von Bundesorga- 
nen in einer grundlegenden Entscheidung nicht nur für zulässig befunden, son- 
dern deren Notwendigkeit unterstrichen. Aufgabe der staatlichen Öffentlich- 
keitsarbeit sei es, den Grundkonsens der Bürger mit der vom Grundgesetz ge- 
schaffenen Staatsordnung lebendig zu erhalten. Das Volk im Sinne des Art. 20 
Abs.2 S.1 GG, d.h. die Bürgerschaft, bedarf der hinlänglichen Information, 
um politische Entscheidungen nach Art. 20 Abs. 2 S.2 GG in Wahlen und Ab- 
stimmungen treffen zu können. Eine verantwortliche Teilhabe der Bürger an der 
politischen Willensbildung des Volkes setze voraus, dass der Einzelne von den 
zu entscheidenden Sachfragen, Maßnahmen und Lösungsvorschlägen „genü- 
gend weiß, um sie beurteilen, billigen oder verwerfen zu können. Auch dazu 
vermag staatliche Öffentlichkeitsarbeit einen wesentlichen Beitrag zu leisten.“ 
Das Gericht geht in einer späteren Entscheidung auch auf die gewandelte Form 
der Aufgabenerfüllung ein. Die Öffentlichkeitsarbeit gehe unter heutigen Be- 
dingungen über die Darstellung von Maßnahmen und Vorhaben der Regierung 
hinaus. Es gehöre in einer Demokratie zur Aufgabe, über wichtige Vorgänge 
außerhalb und weit im Vorfeld der gestaltenden politischen Tätigkeit zu unter- 
richten. „In einer auf ein hohes Maß an Selbstverantwortung der Bürger bei der 
Lösung gesellschaftlicher Probleme ausgerichteten politischen Ordnung ist von 
der Regierungsaufgabe auch die Verbreitung von Informationen erfasst, welche 
die Bürger zur eigenverantwortlichen Mitwirkung an der Problembewältigung 
befähigen.“ Der Gedanke, dass Informationshandeln die Bürger zu eigenver- 
antwortlichem Handeln befähigen kann, ist infolge seiner allgemeinen Natur 
nicht nur auf das Informationshandeln der Bundesregierung, sondern auch auf 
das anderer Staatsorgane erstreckbar.” 


5 Bumke, Die Verwaltung 37 (2004), 3ff.; Feik, Öffentliche Verwaltungskommunikation, 
2007, S. 7, allgemein zur Kommunikation zwischen Verwaltung und Bürger Kaiser, Die 
Kommunikation der Verwaltung, 2009, S. 23 ff., 243 ff. 

6 BVerfGE 44, 125 (147). 

7 BVerfGE 44, 125 (147). 

$ BVerfGE 105, 252 (269). 

°? Rossi, Möglichkeiten und Grenzen des Informationshandelns des Bundesrechnungsho- 
fes, 2012, S. 186. 
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Während die Rechtsprechung des Bundesverfassungsgerichts ihren Aus- 
gangspunkt im Demokratieprinzip hat, verweist Informationshandeln im admi- 
nistrativen Kontext auf eine Steuerungsressource. Der Staat als „Verwaltungs- 
staat“ ist zwar eine rechtsstaatlich gesetzesbedingt funktionelle Bürokratie, 
muss sich aber an die gestiegene Bedeutung von Informationen in der Informa- 
tionsgesellschaft anpassen.'" Unter den „veränderten kognitiven Bedingungen 
moderner Gesellschaften“ hat die Administrative Wissensmanagement zu be- 
treiben.'! In der steuerungswissenschaftlichen und kommunikationstheoreti- 
schen Forschung wurden schon recht früh auch informationelle Mittel im Kon- 
tinuum der staatlichen Steuerungsinstrumente erfasst. Seitdem zählen zu den 
Steuerungsinstrumenten neben denen des klassischen Ordnungsrechts, also 
durchsetzbare Geboten und Verbote und finanzielle Instrumente wie finanzielle 
Transfers, Anreizsysteme und die Schaffung künstlicher Märkte, auch informa- 
tionelle Instrumente wie Informations- und Öffentlichkeitsarbeit sowie indika- 
tive und informative Erklärungen, Pläne und Programme sowie symbolische 
Belohnungen.'? 

Der Gedanke der Steuerung wird in der Rechtswissenschaft unterschiedlich 
bewertet.'” Steuerung durch Information kann angesichts der hier zugrundelie- 
genden Problematik der Komplexität informationstechnischer Systeme jedoch 
gerade nicht im Sinne einer missbräuchlichen Einwirkung auf lineare Kausal- 
verläufe verstanden werden. Die Modi des staatlichen Handelns sind im Sicher- 
heitsverwaltungsrecht ohnehin verlagert bzw. erweitert. Staatliche Steuerung 
findet nicht nur durch hoheitlichen Befehl (Verwaltungsakte) statt, sondern in 
einem kooperativen Modus durch wissensgestützte persuasive Einwirkung (In- 
formationsakte).'* Informationen können durchaus als Mittel der Sicherheits- 
verwaltung begriffen werden, wenn sie für den Empfänger optimal bereitge- 
stellt werden." 

Mit dem Zuwachs an Bedeutung, das dem öffentlichen Informationshandeln 
zukommt, '° ändert sich das Verständnis des Staates. Dessen Auftreten wandelt 
sich vom dirigistischen, finalen Regierungshandeln zu einem auf Selbstregulie- 


10 Pitschas, Allgemeines Verwaltungsrecht als Teil der öffentlichen Informationsord- 
nung, in: Hoffmann-Riem/Schmidt-Aßmann/Schuppert (Hrsg.), Reform des allgemeinen 
Verwaltungsrechts, 1993, S. 219 (269). 

1! Augsberg, Informationsverwaltungsrecht, 2014, S. 196. 

12 Jann, Kategorien der Policy-Forschung, 1981. 

13 Kritisch etwa Lepsius, Steuerungsdiskussion, Systemtheorie und Parlamentarismus- 
kritik, 1999, S. 4 ff. 

14 Grundlegend zu informationsbezogenen Handlungstypen di Fabio, Risikoentscheidun- 
gen im Rechtsstaat, 1994. 

15 Vgl. Eidenmüller, JZ 2011, 814 (821). 

16 Schoch, NIW 2012, 2844 (2844 ff.). 
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rung setzenden öffentlichen Kommunizierens, das sich am Leitbild des mündi- 
gen Verbrauchers!’ und des lernenden Unternehmens orientiert. Begriffe wie 
der des „kooperativen“ oder „kollaborativen“ Staates und des „Gewährleis- 
tungsstaates“ versuchen die veränderte Funktion des Staates begrifflich zu fas- 
sen.'® Nicht zuletzt das Sozialstaatsprinzip kann herangezogen werden, um den 
Staat als enabling state zu konstruieren. Der freiheitliche Sozialstaat kann als 
organisierender, koordinierender und aktivierender Staat verstanden werden, 
der das Eigenleben der Gesellschaft voraussetzt und sich darauf beschränkt, 
diesem geeignete Rahmenbedingungen bereitzustellen, und dabei eine Aktivie- 
rungs-, Koordinations- und Organisationsfunktion übernimmt.'? 

Die mit Informationshandeln verfolgten Verwaltungsziele werden vielfälti- 
ger. Öffentliche Informationen werden etwa gezielt als Instrument des Verbrau- 
cherschutzes eingesetzt,” da eine behördliche Warnung, etwa vor einem be- 
stimmten Produkt oder vor Hygienemängeln in Gaststätten, regelmäßig einen 
Lenkungseffekt bei den Verbrauchern entfaltet (ruling through signals)”. Die 
Information dient dabei nicht nur der Vorbereitung von Maßnahmen, sondern 
ist schon selbst Mittel der Durchsetzung des Rechts. Damit kann Informations- 
handeln Voraussetzung wirksamer, staatlicher Aufgabenerfüllung sein.” 

Staatliche Informationstätigkeit kann letztlich mit der Aktivierung der staat- 
lichen Schutzpflicht und der Gewährleistungsverantwortung begründet werden. 
Aus der staatlichen Informationsverantwortung kann das Gebot folgen, Infor- 
mationen breitenwirksam zur Verfügung zu stellen.” Greifbar wird die Infor- 


17 Becker/Blackstein, NJW 2011, 490 ff. 

!8 Möllers, Der vermisste Leviathan, 2008, S. 104; Schliesky/Schulz (Hrsg.), Transparenz, 
Partizipation, Kollaboration — Web 2.0 für die öffentliche Verwaltung, 2012; kritisch Wewer, 
Die Verwaltung 46 (2013), 563 (563 ff.). 

19 Bereits Heller/Niemeyer, Staatslehre, 6. Aufl. 1983, S. 230; Kingreen, Das Sozialstaat- 
sprinzip im europäischen Verfassungsverbund, 2003, S. 130£.; zur Koordinierungsnotwen- 
digkeit staatlicher und privater Wissensbestände Zadeur, Der Staat gegen die Gesellschaft, 
2006, S. 119 ff., 320 ff. 

2 Vgl. dazu Wollenschläger, VerwArch 102 (2011), 20 (24 ff). 

2! Schuppert, Nudging: nicht wirklich neu und auch — ohne Kontextualisierung — nicht 
weiterführend, VerfBlog vom 16.04.2015, online abrufbar, mit Verweis auf Offe, Signals and 
Information as a Resource of Public Policy, 2010, S. 2. Siehe dazu auch Sunstein, U.Pa.L.Rev 
147 (1999), 613 (613 ff.). 

22 Aktuell werden neue Methoden „wirksamen Regierens“ unter dem vom amerikani- 
schen Verfassungsrechtler Cass Sunstein und dem Ökonomen Richard Thaler geprägten Be- 
griff des nudging diskutiert, wonach verhaltensökonomische Erkenntnisse bei der staatlichen 
Regelsetzung berücksichtigt werden. Siehe dazu kritisch Eifert, Nudging: Eine politische 
Aufgabe, in: Theorie und Praxis der sozialen Arbeit 66 (2015), S. 178 (178 ff.); Smeddinck, 
ZRP 2014, 245 (245 ff.); Kirchhof, ZRP 2015, 136 (136 ff.). 

3 Spiecker gen. Döhmann, Rechtswissenschaft 2010, 247 (263); Groß, Ressortforschung, 
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mationsverantwortung dann, wenn sie als Grundrechtsvoraussetzungsschutz 
durch staatliche Informationsvorsorge verstanden wird.” Die Legitimation für 
eine Wissensdistribution kann sich aus der „staatliche[n] Pflicht zur Schaffung 
der allgemeinen Voraussetzungen für den Gebrauch der Informations- und 
Kommunikationsgrundrechte“ speisen.” 

Die hinter dem staatlichen Informationshandeln stehende Logik kann für die 
Gewährleistung der Internetsicherheit fruchtbar gemacht werden. Gerade auf 
diesem technischen Gebiet müssen auch durch Bürger, die Nutzer und Anwen- 
der sind, informierte Sachentscheidungen getroffen werden. Die Rolle des Staa- 
tes als kooperativer Part in der Sicherheitsgewährleistung manifestiert sich ex- 
emplarisch in Art. 11 Abs. 2 EUV und § 3 Abs. 1 S.2 Nr. 14 und 15 BSIG. Die 
Unionsverwaltung pflegt einen offenen, transparenten und regelmäßigen Dialog 
mit den repräsentativen Verbänden und der Zivilgesellschaft. Das BSI berät und 
warnt private Hersteller, Vertreiber und Anwender in Fragen der Sicherheit. Es 
arbeitet dabei „im Verbund mit der Privatwirtschaft “. Informationshandeln 
kann nicht zuletzt deshalb als legitimes Instrument wirksamer Aufgabenerfül- 
lung angesehen werden, weil die gemeinsame Gewährleistung der Sicherheit 
ein aufgegebenes Verwaltungsziel ist.” Die Veröffentlichung sicherheitsbezo- 
gener Informationen ist grundsätzlich geeignet, den Mangel an Eigeninforma- 
tionen bei Verbrauchern zu reduzieren und diese zu versierteren Risikoentschei- 
dungen zu führen. Unternehmen können dadurch in einen Wettbewerb um si- 
cherere Produkte und Dienstleistungen versetzt werden. Wirkung zeitigen 
solche Informationen vor allem dann, wenn sie von den Empfängern verarbeitet 
und internalisiert werden können.” Zur Erfüllung der staatlichen Gewährleis- 
tungsverantwortung führt das Informationshandeln vor allem dann, wenn die 
Sicherheit in kritischen Internetinfrastrukturen erhöht wird. 


Agenturen und Beiräte — zur notwendigen Pluralität der staatlichen Wissensinfrastruktur, in: 
Röhl (Hrsg.), Wissen — Zur kognitiven Dimension des Rechts, Die Verwaltung, Beiheft 9, 
2010, S. 135 (151 ff). 

24 Trute, Öffentlich-rechtliche Rahmenbedingungen einer Informationsordnung, VVD- 
StRL 57 (1998), S. 216 (254 f.); vgl. Hoffmann-Riem, Enge und weite Gewährleistungsgehalte 
der Grundrechte?, in: in: Bäuerle/Hanebeck/Hausotter (Hrsg.), Haben wir wirklich Recht?, 
2004, S. 53 (56). 

25 Gröschner, Transparente Verwaltung: Konturen eines Informationsverwaltungsrechts, 
in: VVDStRL 63 (2004), S. 344 (365); Schliesky/Hoffmann/Luch/Schulz/Borchers, Schutz- 
pflichten und Drittwirkung im Internet, 2014, S. 167, 174. 

26 Siehe $3 A. 

27 Feiler, Information Security Law in the EU and the U.S., 2011, S. 86f.; Fung/Graham/ 
Weil, Full Disclosure: The Perils and Promise of Transparency, 2007, S. 54 ff. 
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II. Sicherheit durch Transparenz 


Die Informationsdistribution dient auch dem Ideal der Publizität, dessen zu- 
grundeliegender Gedanke auch in der Sicherheitsgewährleistung Anwendung 
finden kann. 

Das Ideal der Publizität lässt sich verfassungsrechtlich nachzeichnen. Der 
Gedanke der staatlichen Transparenz und die Forderung nach der Öffnung des 
Staates reichen bis in die Antike. Bereits dort war Publizität als Bedingung von 
Demokratie und Republik bekannt.” Die Aufklärung und der Liberalismus des 
19. Jahrhunderts verwirklichten das Transparenzideal zum Teil in Judikative 
und Legislative.” Der Bereich der Exekutive, vor allem die Administrative, 
blieb ungeachtet der zeitgeistlichen Entwicklungen von den Öffnungstendenzen 
allerdings weitgehend unberührt.’ Erst die gesetzgeberische Aktivität in den 
letzten Jahrzehnten, die durch europäische Richtlinien ausgelöst wurde, löste 
die Administrative immer weiter aus der Arkantradition und ließ sie zuneh- 
mend ein dem modernen Leitbild möglichst umfassender Transparenz entspre- 
chenden Verwaltungshandeln realisieren.” 

Der Transparenzgedanke ist auf europäischer Ebene in einer prägenden Ver- 
fassungsnorm verankert. Gemäß Art. 1 Abs. 2 EUV werden Entscheidungen in 
der Union möglichst offen und bürgernah getroffen. Der Gedanke der Transpa- 
renz ist hier als Entscheidungsmaxime zum Ausdruck gebracht.” Primärrecht- 
liche Transparenzgebote gelten zudem gemäß Art. 15 Abs.2 AEUV für den 
Normsetzungsprozess. Ausdruck des Transparenzprinzips ist für die Eigenver- 
waltung das Gebot einer „offenen“ Verwaltung in Art. 298 Abs. 1 AEUV. 

Unter Bezug auf das Grundgesetz kann der Transparenzgedanke anhand des 
Grundsatzes der Öffentlichkeit diskutiert werden. Dem Grundgesetz kann ein 
umfassender Grundsatz der Öffentlichkeit entnommen werden.” Für die Legis- 
lative und das Gesetzgebungsverfahren finden sich ausdrückliche bereichsspe- 


28 Vgl. Gröschner, Transparente Verwaltung: Konturen eines Informationsverwaltungs- 
rechts, in: VVDStRL, 63 (2004), S. 344. 

2 Dazu Rossi, Informationszugangsfreiheit und Verfassungsrecht, 2004, S. 79 ff. 

30 Weber, RDV 2005, 243 (244). 

3! Vgl. Pernice, Verfassungs- und europarechtliche Aspekte der Transparenz staatlichen 
Handelns, in: Dix/Franßen/Kloepfer/Schaar/ Schoch (Hrsg.), Informationsfreiheit und Infor- 
mationsrecht, 2014, S. 17 (18); Masing, Transparente Verwaltung, in: VVDStRL 63 (2004), 
S. 377 (422 ff.); Wegener, Der geheime Staat — Arkantradition und Informationsfreiheitsrecht, 
2006, S. 124 ff., 390 ff.; kritisch zu einer Rechtsvergleichung, die den staatsorganisatorischen 
und kulturellen Zusammenhang außer Acht lässt Möllers, VerwArch 93 (2002), 22 (53). 

32 Pechstein, in: Streinz (Hrsg.), EUV/AEUV, 2. Aufl. 2012, EUV, Art. 1 Rn. 19. 

#3 Lederer, Open Data, 2015, S. 217. 
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zifische Öffentlichkeitsvorgaben.”* Jenseits explizierter Vorgaben können Ge- 
bote der Öffentlichkeit im Wege der Auslegung ermittelt werden. So kann die 
Öffentlichkeit als allgemeiner Verfassungsgrundsatz eingeordnet werden, auch 
wenn der Grad der normativen Dichte zu Konkretisierungsbedarf führt.’ Aus 
der Rechtsqualität als Grundsatz folgt aber ein besonderes Regel-Ausnah- 
me-Verhältnis. Die durch gegenläufige Interessen bedingte Nichtöffentlichkeit 
ist rechtfertigungsbedürftig und Ausnahmen sind restriktiv auszulegen. °° 

Die hier interessierende Facette verfassungsrechtlicher Offenheit lässt sich 
am Konzept von Open Government Data nachvollziehen. Der Inhalt von Open 
Government Data hat viele Bestimmungen erfahren.?’ Begrifflich wird auf die 
Offenheitskomponente (open) und auf den Gegenstand der Öffnung (govern- 
ment data) verwiesen.’ In demokratietheoretischer Tradition kommt dieser 
Öffnung des Staates ein Eigenwert zu. Als regulative Idee und Ordnungsinstru- 
ment verstanden,” beinhaltet das Prinzip die Dimensionen Partizipation, Kolla- 
boration und Transparenz.*" Das Konzept von Open Government erfüllt aber 
nicht nur eine legitimitätsstiftende Funktion. Es geht auch um eine Involvierung 
der Bürger und Unternehmen über das staatskonstituierende Beteiligungsmini- 
mum hinaus. Die Offenheit von Verwaltungsdaten kann eine spezifisch sicher- 
heitsbezogene Funktion einnehmen, die sich im Vergleich zur Begrenzung von 
Datenmacht im Datenschutz (1.), anhand der Debatten um die Herstellung von 
Sicherheit in Software (2.) sowie anhand staatlichen Sonderwissens bei Ver- 
schlüsselungen (3.) weiter entfalten lässt. 


34 Z.B. Art. 42 Abs. 1 S. 1, Art. 52 Abs. 3 S. 3 oder Art. 82 GG. 

35 BVerfGE 118, 277 (352); Bröhmer, Transparenz als Verfassungsprinzip — Grundgesetz 
und Europäische Union, 2004, S. 38 ff.; die Rechtsöffentlichkeit aus dem Rechtsstaatsprinzip 
ableitend BVerfGE 103, 44 (63). 

36 Wegener, Der geheime Staat — Arkantradition und Informationsfreiheitsrecht, 2006, 
S. 426; Lederer, Open Data, 2015, S. 219. 

37 Lederer, Open Data, 2015, S. 40. 

38 Eine Übersetzung als „Regierungsdaten“ ist freilich zu eng. Übertragen auf den konti- 
nentaleuropäischen Kontext sind damit Verwaltungsdaten gemeint. Siehe von Lucke/Geiger, 
Open Government Data, 2010, S.2, 6, die auf Daten, Informationen, Wissen und Quellen 
Bezug nehmen. Vgl. auch Internet & Gesellschaft Collaboratory (Hrsg.), Offene Staatskunst, 
2010, S. 52£. 

3 Schuler, Online Deliberation and Civic Intelligence, in: Lathrop/Ruma (Hrsg.), Open 
Government, 2010, S. 91 f., BMI, Open Government Data Deutschland, 2012, S. 25 f. 

40 Janda, Open Government, in: Schliesky/Schulz (Hrsg.), Transparenz, Partizipation, 
Kollaboration, 2012, S. 11 (15). 
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1. Begrenzung von Datenmacht am Beispiel des Datenschutzes 


Im Datenschutz dient das Element der Informationsdistribution dazu, eine In- 
formationsmachtbalance herzustellen und dadurch den Datenschutz zu stärken. 
Der Datenschutz wird zumeist vom Schutz des Individuums her begriffen. Da- 
rüber hinaus hat der Datenschutz einen „gesamthaften Aspekt“.*! Der gesamt- 
hafte Aspekt des Datenschutzes betrachtet das eigentliche Regelungsanliegen 
des Datenschutzes, also Datenmacht zu begrenzen und vor asymmetrischen 
Informationsbeziehungen zu schützen, unter der Prämisse, dass informationelle 
Verhältnisse immer auch Machtverhältnisse darstellen. Die gesamtgesell- 
schaftliche Bedeutung des Datenschutzes kommt im Volkszählungsurteil zum 
Ausdruck,” fand Niederschlag in der Datenschutzgesetzgebung"* und folgt aus 
der Ableitung des Rechtsstaatsprinzips® sowie aus der Staatsaufgabe der Hu- 
manisierung von Technik*‘.*” 

Informationelle Ungleichgewichte und Informationsasymmetrien werden 
durch informationelle Gegengewichte austariert und begrenzt.“ Insbesondere 
Transparenz kann datenmachtbegrenzende Wirkung haben.®” So sind zahlrei- 
che Einzelvorgaben zur Transparenz im Datenschutzrecht Ausdruck dieses Ge- 
dankens und als Vorbedingung der informationellen Selbstbestimmung zu le- 
sen. In die Datenverarbeitung muss grundsätzlich eingewilligt werden, wobei 
die Einwilligung nur wirksam ist, wenn sie auf einer freien Entscheidung beruht 
(Art. 6 Abs. 1 lit. a, 7, 9 Abs. 2 lit. a DS-GVO, sog. informed consent). Denjeni- 
gen, der Daten verarbeitet, treffen bestimmte Informationspflichten dazu, den 
Betroffenen über die Umstände der Datenverarbeitung zu unterrichten. Die 
Information hat in transparenter und verständlicher Form zu erfolgen (Art. 12 
DS-GVO). Bestimmte Unternehmen müssen ein Verzeichnisaller Verarbeitungs- 
tätigkeiten führen, um die wichtigsten Vorgänge zu dokumentieren (Art. 30 


#1 Von Lewinski, Die Matrix des Datenschutzes, 2014, S. 55. 

42 Von Lewinski, Zur Geschichte von Privatsphäre und Datenschutz, in: Schmidt/Weichert 
(Hrsg.), Datenschutz, 2012, S. 23 ff. 

8 BVerfGE 65, 1 (47, 50£.); vgl. schon BVerfGE 27, 1 (9). 

# Etwa in $ 1 Abs. 1 Nr. 2 HDSG: „Aufgabe des Gesetzes ist es, die Verarbeitung perso- 
nenbezogener Daten [...] zu regeln, um [...] das auf dem Grundsatz der Gewaltenteilung be- 
ruhende verfassungsmäßige Gefüge des Staates [...] vor einer Gefährdung infolge der auto- 
matisierten Datenverarbeitung zu bewahren.“ 

45 Steinmüller/Lutterbeck/Mallmann/Harbort/Kolb/Schneider, Grundfragen des Daten- 
schutzes, Gutachten im Auftrag des Bundesministeriums des Innern, 1971, abgedruckt als 
Anlage 1 zur BT-Drs. V1/3826 vom 07.09.1972, S. 83. 

# Kloepfer, Datenschutz als Grundrecht, 1980, S. 16. 

4 Von Lewinski, Die Matrix des Datenschutzes, 2014, S. 55. 

# Vgl. Grimm, JZ 2013, 585 (587). 

# Von Lewinski, Die Matrix des Datenschutzes, 2014, S. 77 f. 
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DS-GVO). Bei besonders risikobehafteten Datenverarbeitungen ist unter Um- 
ständen die Aufsichtsbehörde zu konsultieren (Art. 36 DS-GVO). 

Die Transparenzvorschriften erhöhen den allgemeinen Grad des ‚„Informiert- 
seins“. Im Bereich der Netz- und Informationssicherheit besteht mangels eines 
einheitlichen IT-Sicherheitsrechts kein entsprechendes Regelungsregime. Den- 
noch rechtfertig sich staatliche Informationsgenerierung nur unter dem Aspekt, 
nicht nur den Staat, sondern auch die Marktgegenseite, d.h. die Kunden eines 
Unternehmens oder die Betroffenen eines Sicherheitsvorfalls, aufzuklären. Die- 
ses Prinzip kommt besonders bei den Pflichten zur Meldung von IT-Sicherheits- 
vorfällen zum Ausdruck. Diese Meldepflichten verfolgen neben dem Zweck, 
den Behörden die Erstellung eines Lagebildes zu ermöglichen und Reaktions- 
maßnahmen einzuleiten, Transparenz (fransparency) herzustellen und für die 
Sicherheit zu sensibilisieren (awareness).’” 


2. Argumente aus der Kryptokontroverse gegen exklusives staatliches Wissen 


Noch deutlicher lässt sich die Gefahr exklusiven Wissens über Sicherheit, die 
durch die Konzentration sensibler sicherheitskritischer Informationen entsteht, 
am Beispiel der Key-escrow-Debatte (Kryptokontroverse) ausmachen. In der 
Kryptokontroverse geht es darum, ob die Netz- und Informationssicherheit bes- 
ser durch proprietäres, d.h. exklusives Wissen (hier des Staates) oder durch 
distribuiertes, d.h. weit verbreitetes Wissen (hier der Anwender und Unterneh- 
men) gewährleistet werden kann. Bei abstrahierter Betrachtung lassen sich Ar- 
gumente für und gegen Informationsdistribution erkennen. 

Die Vereinigten Staaten von Amerika hatten frühzeitig die Schlüsselhinterle- 
gung (key escrow) bzw. die Implementierung der Möglichkeit, Nachschlüssel 
erzeugen zu können, vorangetrieben.’' Der bei staatlichen Stellen hinterlegte 
bzw. generierbare Schlüssel sollte so den öffentlichen Zugriff auf kryptografi- 
sche Verschlüsselungsverfahren und verschlüsselte Inhalte erlauben. Die „Clip- 
per Chip“-Initiative, nach der den Behörden eine Art Generalschlüssel abzuge- 
ben gewesen wäre, konnte sich nicht durchsetzen. In einigen Staaten konnte sich 
(zeitweise) eine Schlüsselhinterlegungspflicht etablieren.” In Deutschland wur- 
de 1999 die Kryptodebatte durch die von der Bundesregierung aufgestellten 
Eckpunkte für die Kryptopolitik vorerst beendet. Die Bundesregierung beab- 


50 Heinickel/Feiler, CR 2014, 708 (710); Feiler, Journal of Internet Law 2011, 1 (18ff.); 
Art. 14 Abs. 6 NIS-RL. 

5! Bizer, Die Kryptokontroverse, in: Hammer (Hrsg.), Sicherheitsinfrastrukturen, 1995, 
S. 179 (209); vgl. Kuner/Hladjk, Rechtsprobleme der Kryptografie, in: Hoeren/Sieber/Holz- 
nagel (Hrsg.), Handbuch Multimedia-Recht, 42. Aufl. 2015, Teil 17, Rn. 86 ff. 

5 Vgl. Gerhard, (Grund-)Recht auf Verschlüsselung?, 2010, S. 118. 


A. Funktion der Informationsdistribution für die Sicherheitsgewährleistung 309 


sichtigte es zu diesem Zeitpunkt nicht weiter, „die freie Verfügbarkeit von Ver- 
schlüsselungsprodukten in Deutschland einzuschränken“. Die Verwendung 
von Datenverschlüsselungsprodukten ist in Deutschland weiterhin weitgehend 
unreguliert.* Im Bereich der Telekommunikation unterliegen Nutzer grund- 
sätzlich keinen Beschränkungen. Zwar regelt die Telekommunikations-Über- 
wachungsverordnung (TKÜV) — neben den einfachgesetzlichen Abhör- und 
Überwachungsbefugnissen — die von den öffentlichen Telekommunikations- 
anlagenbetreibern einzuhaltenden technischen und organisatorischen Vorkeh- 
rungen. Internetprovider und Internetnetzknoten sind aber — außer in Fällen 
angeordneter Überwachungen — von den Verpflichtungen aus der TKÜV (vgl. 
§ 3 Abs. 2 TKÜV) ausgenommen. 

Die Debatte um den staatlichen Zugang zu Schlüsseln ist jüngst wieder neu 
entfacht worden.” Gefordert wird, dass die „Internet systems“ „redesigned“ 
werden und dass es einen „government access“ zu Informationen, auch ver- 
schlüsselten, in Datenspeicher- und Kommunikationssystemen gibt, um die Er- 
mittlungskapazitäten der Sicherheitsbehörden den Bedrohungen im und über 
das Internet anzupassen. In dem Bericht der Gruppe der führenden Krypto- 
grafen und IT-Sicherheitsforscher, die bereits 1997 die massiven Sicherheits- 
lücken der Clipper-Chip-Initiative aufzeigte, wird die Forderung nach einem 
„exceptional access“ zu verschlüsselter Kommunikation mit dem Argument 
verworfen, sie sei „unworkable in practice“, führe zu „enormous legal and 
ethical questions, and would undo progress on security at a time when Internet 


5 Pressemitteilung des Bundesministeriums für Wirtschaft und Technologie und des 
Bundesministeriums des Innern vom 02.06.1999: Eckpunkte der deutschen Kryptopolitik, 
abrufbar unter: http://www.fitug.de/news/newsticker/old/1999/newsticker020699224621. 
html. Gleichwohl heißt es dann aber einschränkend: „Durch die Verbreitung starker Ver- 
schlüsselungsverfahren dürfen die gesetzlichen Befugnisse der Strafverfolgungs- und Si- 
cherheitsbehörden zur Telekommunikationsüberwachung nicht ausgehöhlt werden.“ Der 
Antwort des Bundesministeriums des Innern auf eine Kleine Anfrage zufolge hat der Kabi- 
nettsbeschluss nach wie vor Bestand, BT-Drs. 18/5144, S.4. Soweit es diesen „berechtigten 
Stellen“ möglich ist, dürften sie „rechtmäßig abgefangene, aber nutzerseitig verschlüsselte 
Kommunikation im Rahmen des technisch Möglichen [...] entschlüsseln.“ 

54 Zu den wichtigen Ausnahmen wie Ausfuhrbeschränkungen und anderen Rechtsfragen 
siehe Kuner/Hladjk, Rechtsprobleme der Kryptographie, in: Hoeren et al. (Hrsg.), Handbuch 
Multimedia-Recht, 42. Aufl. 2015, Teil 17 Rn. 14 ff. 

5 Kuner/Hladjk, Rechtsprobleme der Kryptographie, in: Hoeren/Sieber/Holznagel (Hrsg.), 
Handbuch Multimedia-Recht, 42. Aufl. 2015, Teil 17 Rn. 56; vgl. aber $ 3 Abs. 2 Nr. 3 TKÜV. 

36 Comey, Going Dark: Are Technology, Privacy, and Public Safety on a Collision Cour- 
se?, Speech at the Brookings Institution, 2014, online abrufbar. Für Europa und Deutschland 
siehe die Antwort der Bundesregierung auf eine Kleine Anfrage BT-Drs. 18/5144, m. w. N.; 
Hornung, MMR 2015, 145 (145). 
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‘ 


vulnerabilities are causing extreme economic harm“.’’ In der Tat sind neben 
technischen Detailfragen drei wesentliche Punkte zu berücksichtigen, die das 
exklusive staatliche Wissen über die Entschlüsselung von Telekommunikation 
problematisch erscheinen lassen. Erstens schafft das exklusive Wissen über si- 
cherheitskritische Mechanismen wie Verschlüsselung selbst ein Sicherheitsrisi- 
ko.°® Cyberattacken auf Ziele, die Daten konzentrieren, könnten das Ausmaß 
einer Katastrophe annehmen. Das Informationssystem zur Verwaltung eines 
derart sensiblen Wissens würde zweitens eine enorme Zunahme an Komplexität 
bedeuten, vor allem in den betroffenen Produkten und weil eine nicht quantifi- 
zierbare Anzahl von Institutionen und Nutzern berücksichtigt werden müsste.” 
Jeder Aufbau eines neuen Systems ist mit Kosten verbunden und das Testen, 
Administrieren und Programmieren ist in hohem Maße kostenaufwendig. Zu 
bedenken ist, dass im Bereich der Informationstechnik für die Entwicklung si- 
cherer Technik ein iterativer Review-Prozess notwendig ist. Prinzipiell ist 
nicht zuletzt die Frage, wer die Systeme, die NIS-relevantes Wissen speichern, 
kontrolliert und überwacht. 

Eine abschließende Aussage zu Gunsten oder zu Ungunsten exklusiven Wis- 
sens über die Sicherheit ist zwar nicht möglich. Stets ist aber für die Betrachtung 
der systemischen Internetsicherheit eine Gesamtrechnung aufzustellen, die 


5 Abelson/Anderson/Bellovin/Benaloh/Blaze/Diffie/Gilmore/Green/Landau/Neumann/ 
Rivest/Schiller/Schneider/Specter/Weitzner, Keys Under Doormats: Mandating insecurity by 
requiring government access to all data and communications, Computer Science and Artifi- 
cial Intelligence Laboratory Technical Report, 2015, S. 1, online abrufbar. 

5 Zum Verhältnis von Vorratsdaten und den Anforderungen an die IT-Sicherheit Biendl, 
Die Vorratsdatenspeicherung in Europa, Deutschland und Bayern, 2011, S. 72 ff., online ab- 
rufbar; vgl. exemplarisch für die Gefahren in der Praxis Hirschfeld Davis, Hacking of Govern- 
ment Computers Exposed 21.5 Million People, New York Times vom 09.07.2015, online ab- 
rufbar; Abelson/Anderson/Bellovin/Benaloh/Blaze/Diffie/Gilmore/Green/Landau/Neumann/ 
Rivest/Schiller/Schneider/Specter/Weitzner, Keys Under Doormats: Mandating insecurity by 
requiring government access to all data and communications, Computer Science and Artifi- 
cial Intelligence Laboratory Technical Report, 2015, S. 15: „This is a trade-off space in which 
law enforcement cannot be guaranteed access without creating serious risk that criminal in- 
truders will gain the same access.“ 

5 Der frühere Leiter der Forschung bei der US-amerikanischen National Security Agen- 
cy (NSA) beschrieb das Verhältnis von Sicherheit und Komplexität so: „When it comes to 
security, complexity is not your friend. [...] The basic idea is simple: as software systems 
grow more complex, they will contain more flaws and these flaws will be exploited by cyber 
adversaries.“, in: Chang, Is Your Data on the Healthcare.gov Website Secure?, Written Testi- 
mony before the Committee on Science, Space and Technology, U.S. House of Representati- 
ves, 2013, online abrufbar. 

60 Im kryptografischen Needham-Schroeder-Protokoll, das 1978 veröffentlicht wurde, 
fand man erst 1995, 17 Jahre später, Sicherheitslücken. Siehe Gavin Lowe, Information Pro- 
cessing Letters 1995, 131 ff., online abrufbar. 
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nicht nur die kurzfristigen geringfügigen und taktischen Vorteile berücksich- 
tigt, sondern die strukturellen Gefahren des Informationsmanagements beach- 
tet. Das staatliche Wissen über eine hochkritische Sicherheitslücke kann durch 
Angreifer missbraucht werden. Die Herstellung von Öffentlichkeit auch zu den 
Ergebnissen der Informationsgenerierung erlaubt hier ein Stück weit die Beob- 
achtung der Beobachter und beugt dem Verletzungsrisiko vor. Das Prinzip der 
Dekonzentration von Datenmacht durch Offenheit kann grundsätzlich ein wei- 
terer Beitrag zur Gewährleistung der Internetsicherheit sein. 


3. Transparenzgedanke in der Debatte um Freie Software 


Die Frage der Transparenz und Offenheit findet eine parallele Diskussion im Streit 
um die Frage, ob IT-Sicherheit besser durch Freie oder besser durch proprietäre 
Software gewährleistet werden kann.‘' Zwei Sicherheitsphilosophien treffen hier 
aufeinander, die sich beschreiben lassen als security through transparency auf der 
einen Seite und als security through obscurity auf der anderen Seite.” 

Der Ansatz der Freien Software zeichnet sich neben anderen Merkmalen da- 
durch aus, dass der Quellcode des Programms offengelegt wird. Das Gegen- 
stück zu Freier Software ist proprietäre Software. Der Quellcode ist nicht frei, 
d.h. nicht offengelegt, und seine Verbreitung grundsätzlich lizenzrechtlich nicht 
gestattet. Die Unterscheidung folgt der Historie der Softwareentwicklung, -ver- 
breitung und -verwendung. In den 1960er-Jahren entstand an den amerikani- 
schen Universitäten eine akademische Hackerkultur, in der die Programmierer 
Software inkrementell verbesserten und so Code und Wissen austauschten. Es 


6! Am Beispiel von Browsern Hunziker/Rihs, DuD 2006, 6 (6f.); aktuell Zehnter Zwi- 
schenbericht der Enquete-Kommission „Internet und digitale Gesellschaft“ — Interoperabili- 
tät, Standards, Freie Software, 2013, BT-Drs. 17/12495, S. 22 ff., 34 ff. 

62 Vgl. Feiler, Journal of Internet Law 2011, 1 (18 ff.); Shostack/Stewart, The New School 
of Information Security, 2008, S. 68 ff.;, Fung/Graham/Weil, Full Disclosure: The Perils and 
Promise of Transparency, 2007, S. 39 ff. 

% Zu den vier Freiheiten Freier Software gehören die Freiheit, das Programm für jeden 
Zweck zu verwenden, die Freiheit, das Programm zu untersuchen und an individuelle Be- 
dürfnisse anzupassen, die Freiheit, Kopien des Programms weiterzugeben, und die Freiheit, 
das Programm zu verändern und die veränderte Version zu veröffentlichen. Für die Freihei- 
ten ist die Offenlegung des Quellcodes unabdingbar, vgl. Free Software Foundation, Inc., 
GNU Operation System, The Free Software Definition, abrufbar unter: http://www.gnu.org/ 
philosophy/free-sw.en.html. Regelmäßig wird auch der weniger ideologisch konnotierte Be- 
griff Open-Source-Software synonym gebraucht. Um der Verwirkung der Begriffe vorzu- 
beugen, werden zudem auch Begriffe wie Organic Software oder Ethical Software verwen- 
det, vgl. Schießle, Free Software, Open Source, FOSS, FLOSS — same same but different, 
Blogbeitrag vom 11.05.2012, online abrufbar. Freie Software ist nicht mit Freeware zu ver- 
wechseln, mit der kostenlose Software gemeint ist. 
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entwickelte sich „eine Kultur der gegenseitigen Hilfe und des freien Austau- 
sches“.°* Später, in den 1970er-Jahren, wurde Software zu einem bedeutenden 
(verknappten) Wirtschaftsgut und die Unternehmen machten einen urheber- 
rechtlichen Schutz für ihre Entwicklungen geltend und führten Lizenzverträge 
mit den Anwendern ein, mit denen der Gebrauch der Programme, insbesondere 
die Weitergabe und Veränderbarkeit, beschränkt wurde. Als Folge arbeiteten 
die Softwareentwickler isoliert und unabhängig voneinander an oftmals gleich- 
gelagerten Problemen. Der damals am Massachusetts Institute of Technology 
(MIT) tätige Programmierer Richard Stallman nahm dies zum Anlass das unter 
dem Namen GNU® bekannte Betriebssystem zu entwickeln, welches später mit 
Linus Torvalds zum GNU/Linux-System weiterentwickelt wurde. Die Software 
zeichnet sich durch die GNU General Public License (GPL) und andere freie 
Dokumentationslizenzen aus, die urheberrechtlich jede Änderung, Erweiterung 
oder Ableitung dauerhaft erlauben und die Software frei verfügbar halten.“ 
Aufgrund der beschriebenen Eigenschaften und Lizenzmodelle wird der 
Freien Software häufig eine höhere Sicherheit zugesprochen.’ Auf die Sicher- 
heit wirkt sich der Zugang zum Quellcode dadurch aus, dass dieser durch Ex- 
perten auf Sicherheitslücken hin überprüft werden kann. Detektierte Schwach- 
stellen können korrigiert werden. Die Sicherheit eines Produkts kann dadurch 
insgesamt so gehärtet werden, dass auch dessen Einsatz in sicherheitskritischen 
Umgebungen möglich ist. Etwaige Hintertüren, d.h. in die Software eingebaute 
Programmbestandteile, die es ermöglichen, unter Umgehung der regulären Zu- 
griffssicherung Zugriff zu Programm und Daten zu erlangen (sog. backdoors), 
können durch die Untersuchungsmöglichkeit aufgedeckt werden. Dagegen ist 
bei proprietärer Software eine Codeanalyse zur Detektion von Schwachstellen 
von außen grundsätzlich nicht möglich, sodass der Nutzer die Sicherheitsrisiken 
einer Software kaum bewerten kann. Der Nutzer ist dadurch abhängig von den 
Fehlerbehebungsintervallen und Produktzyklen des Herstellers.°® Infolge von 


64 Die Beauftragte der Bundesregierung für Informationstechnik (Hrsg.): Migrations- 
leitfaden. Leitfaden für die Migration von Software, Version 4.0, 2012, S. 19, online abrufbar. 

65 GNU steht für das rekursive Akronym „GNU’s not UNIX“. 

66 Die Vertreterin der Lizenz ist die ebenfalls von Richard Stallmann 1985 gegründete 
Free Software Foundation (FSF). Die aktuelle Version ist die GNU General Public License, 
Version 3, 29. Juni 2007, abrufbar unter: http://www.gnu.org/licenses/gpl-3.0. 

67 Enquete-Kommission „Internet und digitale Gesellschaft“, Zehnter Zwischenbericht — 
Interoperabilität, Standards, Freie Software, 2013, BT-Drs. 17/12495, S. 27; BSI, Freie Soft- 
ware (FLOSS: Freie, Libre und Open Source Software), Strategische Positionen des BSI zu 
Freier Software, abrufbar unter: https://www.bsi.bund.de/DE/Themen/weitereThemen/Freie 
Software/freiesoftware_node.html. 

68 Die Beauftragte der Bundesregierung für Informationstechnik (Hrsg.): Migrationsleit- 
faden. Leitfaden für die Migration von Software, Version 4.0, 2012, S. 20. 
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Nichtveröffentlichungsvereinbarungen kann es sogar vorkommen, dass Sicher- 
heitsforscher die ihnen bekannten Sicherheitslücken einer Software nicht veröf- 
fentlichen dürfen. 

Die Argumentation für Freie Software spricht überwiegend für ein allgemei- 
nes Prinzip zugunsten der staatlichen Offenheit und Transparenz auch im Be- 
reich Netz- und Informationssicherheit.°” Es gibt jedoch strukturelle und syste- 
mische Dysfunktionen, die keinesfalls außer Acht gelassen werden dürfen.” 
Denn die Kenntnis von Sicherheitslücken kann unter bestimmten Bedingungen 
auch nicht zu ihrer Behebung eingesetzt werden, sondern zu Zwecken, die den 
Schutzzielen der IT-Sicherheit gegenläufig sind, wie etwa kriminellen Zwecken. 
Eine bekanntgewordene Sicherheitslücke kann außerdem dann weiterhin ausge- 
nutzt werden, wenn die Freie Software nicht ständig weiterentwickelt wird. Eine 
pauschale Bevorzugung der einen oder der anderen Variante ist nach allem 
kaum möglich. Gleichwohl macht die Debatte um Freie Software deutlich, dass 
sich Offenheit und Sicherheit nicht prinzipiell von vorneherein ausschließen. 
Offenheit kann sogar die Sicherheit stärken. 


IH. Sicherheit durch Informationszugang und -weiterverwendung 


Eine besondere Ausprägung der staatlichen Transparenz ist der Zugang zu In- 
formationen. Denn neben dem aktiven Informationshandeln entscheidet der Zu- 
gang zu staatlichen Informationen „über den Grad der Informiertheit im Rah- 
men der Cybersicherheit“.’! 

Durch Art. 41 Abs. 2 lit. b, 42 GRCh und Art. 15 Abs. 3 AEUV ist das Teilha- 
berecht an Verwaltungsinformationen zur grundrechtlichen Anerkennung ge- 
langt.’? Das Grundgesetz sieht kein ausdrückliches Grundrecht auf Informati- 
onszugang vor. Die dem Paradigmenwechsel der Öffnung des Staates Rechnung 
tragende Verfassungsinterpretation, nach der aus Art. 5 Abs. 1 S. 1 2. Hs. GG 
ein Grundrecht auf Informationsfreiheit abzuleiten sei, ist allerdings im Vor- 
dringen befindlich.’”” Das Informationsfreiheitsgesetz des Bundes und die der 


© Die Argumentation bezieht sich lediglich auf die Sicherheit und betrifft nicht die stra- 
tegische, technische und wirtschaftliche Beurteilung der Anpassbarkeit, Verwendungsmög- 
lichkeit, Weitergabe, Hersteller- und Dienstleisterbeziehungen, Qualität, Kosten, Interopera- 
bilität, die möglichen Geschäftsmodelle, Haftung und Gewährleistung, Nutzeranforderun- 
gen etc. der Softwaretypen. 

10 Zur Gegenposition etwa Microsoft, Linux im Handel — Was jeder Händler wissen sollte, 
Whitepaper 2001, Punkt 7. 

7! Bötticher, Open Source Intelligence, in: Lange/dies. (Hrsg.), Cyber-Sicherheit, 2015, 
S. 181 (191 f.). 

72 Claasen, Gute Verwaltung im Recht der Europäischen Union, 2008. 

B Siehe$5C.1.2. 
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Länder auf einfachgesetzlicher Ebene stehen außerdem für eine Bestätigung der 
Entwicklung des zunehmenden Informationszugangs. 

Durch die Informationszugangsfreiheit kommt dem Staat die Stellung als Infor- 
mationsmittler zu. Die Rolle des Staates als Informationsintermediär ergibt sich 
insbesondere daraus, dass der Begriff der „amtlichen Information“ nach $ 1 IFG 
nicht voraussetzt, dass der Bund Urheber der Information ist. Vielmehr ist die 
Herkunft der Information unbeachtlich. Lediglich der Zweck der Information ist 
erheblich, d.h., sie muss in Erfüllung einer öffentlichen Tätigkeit angefallen sein. 
Erfasst sind somit auch die behördlich gespeicherten Daten, die zuvor von Privaten 
generiert wurden.” Die Informationsfreiheit zielt mit der kognitiven Öffnung des 
Staates auf die Neudistribution sowohl staatlichen als auch privaten Wissens und 
hebt damit die hoheitliche Monopolisierung von Informationen auf.” 

Einen ganz praktischen, wenn auch eher indirekten Nutzen könnte der Zu- 
gang zu Informationen, die bei der nationalen NIS-Behörde vorliegen, haben, 
wenn der durch einen IT-Angriff oder Fehler in einem IT-Produkt Geschädigte 
in einem zivilrechtlichen Haftungsprozess für die ihm obliegende Darlegungs- 
und Beweislast auf beim BSI gesammelte Informationen zurückgreifen könnte. 
Die Verteilung dieser Last stellt eines der größten Hindernisse für den Geschä- 
digten dar, da er kaum Einblicke in die Vorgänge beim Schädiger hat und auch 
sonst häufig über zu wenig relevante IT-forensische Informationen verfügt. Die 
Rechtsprechung kennt bei der deliktischen Haftung zwar wie im Produkthaf- 
tungsrecht Beweiserleichterungen für den Nachweis der Verletzung einer objek- 
tiven Verkehrspflicht, die zum Teil bis zur Umkehr der Beweislast für die Feh- 
lerfreiheit bei In-Verkehr-Bringen eines Produkts reichen.” Der Geschädigte 
hat dennoch grundsätzlich den Schaden und die Ursächlichkeit nachzuweisen. 
Dem Geschädigten obliegt demnach der Beweis der kausalen Rechtsgutverlet- 
zung, des Produktfehlers sowie der Nachweis, dass der Produktfehler aus dem 
Organisationsbereich des Schädigers herrührt.’”’ Im Bereich der IT-Sicherheit 
ist die Beweisführung hier häufig nicht möglich.”® Der Zugriff auf Informatio- 
nen beim BSI über Auskunftsverlangen nach dem IFG könnte für dieses Prob- 
lem Abhilfe schaffen. 


74 Steffen Augsberg, Der Staat als Informationsmittler— Robin Hood oder Parasit der Wis- 
sensgesellschaft, DVBl. 2007, 733 (739). 

7 Pitschas, Allgemeines Verwaltungsrecht als Teil der öffentlichen Informationsord- 
nung, in: Hoffmann-Riem/Schmidt-Aßmann/Schuppert (Hrsg.), Reform des Allgemeinen 
Verwaltungsrechts, 1993, S. 219 (256); Augsberg, DVBl. 2007, 733 (739). 

76 Sprau, in: Palandt, BGB, $ 823 Rn. 183. 

77 Foerste, in: ders./v. Westphalen, Produkthaftungshandbuch, 3. Auflage 2012, § 30 
Rn. 29 ff.; Spindler, in: BeckOK/BGB, 37. Edition 2013, $ 823 Rn. 553. 

78 Spindler, CR 2016, 297 (312). 
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Neben der Informationsdistribution in Form des Zugangs zu amtlichen Infor- 
mationen ist die private Weiterverwertung von Informationen des öffentlichen 
Sektors Teil der Öffnung der Verwaltung und der multipolaren Wissensvermitt- 
lung des Staates.” Die Idee der freien Verwendung von zugänglichen Informa- 
tionen richtet sich vor allem darauf zu ermöglichen, dass neue marktfähige 
Mehrwertprodukte und -leistungen erstellt werden können. Ein neuer Wert 
kann Informationen durch die Herauslösung aus ihrem bisherigen Kontext, 
durch Rekombination sowie durch Herstellung neuer Bezüge zu ihnen zukom- 
men.’ Dieses Wertschöpfungspotenzial für die innovative Nutzung von Infor- 
mationen wird vor allem für Dienstleistungen und Produkte in der Informa- 
tions- und Kommunikationstechnologie gesehen.°! 


B. Aktives Informationshandeln 


Aktive staatliche Informationstätigkeit ist die von Amts wegen unternommene 
Distribution von Informationen. Informationen werden Rezipienten in der An- 
nahme mitgeteilt oder „aufgedrängt“*”, sie würden passiv wahrgenommen oder 
aus ihnen würde Nutzen gezogen. Es kann zwischen öffentlichkeits- (I.) und 
individualbezogenem (II.) Informationshandeln unterschieden werden.®° 


1. Öffentlichkeitsbezogene Informationstätigkeit 


Öffentlichkeitsbezogenes Informationshandelns richtet sich an einen unbe- 
stimmten Adressatenkreis.°* Bei solchen Publikumsinformationen sind auf- 
grund der möglichen Eingriffsintensität je nach Handlungsform Anforderungen 


1 Ino Augsberg, Informationsverwaltungsrecht, 2014, S. 214 f. 

80 Masing, Transparente Verwaltung, in: VVDStRL 63 (2004), S. 377 (393). 

81 Wiebe, Zugang zu und Verwertung von Informationen der öffentlichen Hand, in: Metzger/ 
Wimmers (Hrsg.), DGRI Jahrbuch 2014, 2015, Rn. 364; vgl. schon Europäische Kommission, 
Grünbuch über die Informationen des Öffentlichen Sektors in der Informationsgesellschaft, 
KOM«(1998) 585; zu möglichen Geschäftsmodellen der Informationsweiterverwendung 
Podszun, Die Marktordnung für Public Sector Information: Plädoyer für eine wettbewerbs- 
orientierte Auslegung der Richtlinie, in: Dreier/Fischer/van Raay/Spiecker gen. Döhmann 
(Hrsg.), Informationen der öffentlichen Hand — Zugang und Nutzung, 2016, S. 335 (336 ff.). 

8&2 Diese Kategorie stammt aus dem Datenschutzrecht. Dort beschreibt der Begriff den 
Fall, dass eine verantwortliche Stelle Informationen erhält, ohne diese nachgefragt zu haben, 
Spiecker gen. Döhmann, Rechtswissenschaft 2010, 247 (272); vgl. Tinnefeld/Buchner/Petri, 
Einführung in das Datenschutzrecht, 8. Aufl. 2012, S. 499 ff. 

83 Kloepfer, Informationsrecht, 2002, § 10, Rn. 79ff.; vgl. Schoch, Entformalisierung 
staatlichen Handelns, in: Isensee/Kirchhof (Hrsg.), HbStR III, 3. Aufl. 2005, $ 37, Rn. 74. 

84 Schoch, VBIBW 2014, 361 (362). 
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an die Zulässigkeit und die Qualität des Informationshandelns zu stellen (1.). 
Die Kategorisierung der Handlungs- und Erscheinungsformen hat Bedeutung 
für die Eingriffsintensität einer Maßnahme, aber auch für die jeweilige kogniti- 
ve Dimension und die mögliche Steuerungswirkung einer Information. Ein Ka- 
non ist weder abschließend gesetzlich festgelegt, noch lässt sich die jeweilige 
Form stets dem Gesetzestext entnehmen. Aus Beispielen in der Rechtsprechung 
lassen sich Fallgruppen bilden. So hatte sich die Rechtsprechung mit amtlicher 
Berichterstattung®°, Unterrichtung, behördlicher Aufklärung®’, Empfehlung® 
und der amtlichen Warnung°” auseinanderzusetzen.”° Dabei bleibt jedoch jede 
Einordnung stets der kontextbezogenen Beurteilung im Einzelfall vorbehalten. 
Die Informationstätigkeit ist weniger nach der äußeren Erscheinungsform als 
vielmehr nach der inhaltlichen Zielrichtung zu bestimmen. Das Spektrum reicht 
von einer aufklärenden Transparenzmaßnahme ohne Lenkungswillen bis hin 
zu bewusst Einfluss nehmenden Empfehlungen oder Warnungen. Für den Be- 
reich der Netz- und Informationssicherheit reicht das Instrumentarium von all- 
gemeiner Aufklärung über Sicherheitsprobleme einschließlich der Information 
über Sicherheits- und Datenschutzverletzungen (2.) über die Veröffentlichung 
von Sicherheitsanforderungen und Ergebnissen aus Produktuntersuchungen (3.) 
sowie Warnungen vor Sicherheitslücken und anderen Gefahren (4.) bis hin zur 
Empfehlung von Sicherheitsprodukten (5.). 


1. Allgemeine Anforderungen an Publikumsinformationen 


Soweit Publikumsinformation nicht grundrechtsneutral ist, bedarf es für eine 
Informationstätigkeit grundsätzlich einer Rechtsgrundlage (a). Zur Rechtmä- 
Bigkeit der Information gehören auch Anforderungen an die Qualität der Infor- 
mation (b). 


a) Erfordernis der Rechtsgrundlage 


Die Publikumsinformation ist die amtliche Versorgung der Öffentlichkeit mit 
Informationen.?! Die Beschreibung staatlichen Informationshandelns als „Pub- 


85 BVerfGE 113, 63, siehe auch NJW 2005, 2912. 

86 RhPfVerfGH, NVwZ 2008, 897. 

87 BVerfG, NJW 2011, 511, siehe auch ZUM 2010, 957 m. Anm. Ladeur, der den Charak- 
ter der Äußerung der Bundeszentrale für politische Bildung im gegebenen Fall privatrecht- 
lich bewertet. 

8 VGH Kassel, NJW 1995, 2371. 

9 BVerfGE 105, 279, siehe auch NJW 2002, 2626, bestätigt durch EGMR, NVwZ 2010, 
177. 

9 Vgl. zur Fallgruppenbildung auch Schoch, VBIBW 2014, 361, 364 ff. 

91 Schoch, AfP 2010, 313 (315); Guckelberger, Rechtliche Anforderungen an die aktive 
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likumsinformation“ oder „Öffentlichkeitsarbeit“ darf nicht als harmloser Um- 
gang mit Informationen missverstanden werden.?? Sowohl intendierte als auch 
nicht intendierte Steuerungseffekte (Spill-over-Effekte) der Kommunikation 
können grundrechtsverletzende Wirkungen zeitigen. Aus diesem Grund be- 
schäftigte sich die rechtsdogmatische Debatte mit der Eingriffsqualität von 
staatlichen Informationsakten und der Erforderlichkeit und Bestimmtheit der 
Eingriffsgrundlage.”° Die Gesetzgeber sind dementsprechend zunehmend dazu 
übergegangen, die Voraussetzungen für die Information der Öffentlichkeit aus- 
drücklich zu regeln. Es haben sich zudem verschiedene Grundsätze hinsichtlich 
der Zulässigkeit von Informationshandeln herausgebildet. 

Die grundrechtsneutrale oder ausgestaltende Informationstätigkeit erfordert 
grundsätzlich keine besondere gesetzliche Ermächtigung, soweit sie im Rah- 
men der allgemeinen Behördenbefugnis und Zuständigkeit erfolgt und von der 
Aufgabenzuweisungsnorm gedeckt ist.” Bei einem informationellen Grund- 
rechtseingriff bedarf das staatliche Informationshandeln nach dem Grundsatz 
des Gesetzesvorbehalts einer Ermächtigungsgrundlage.” Insbesondere der 
Schutzbereich von Art. 12 GG, der den Schutz auf verzerrungsfreien Wettbe- 
werbs umfasst, kann durch Informationseingriffe verletzt werden.” Für das be- 
hördliche Informationshandeln ist dies anerkannt.?’ Für die regierungsamtliche 
Informationstätigkeit soll dagegen auch bei mittelbaren Eingriffen die Rechts- 
grundlage in der ungeschriebenen Aufgabe der Staatsleitung liegen können.” 


b) Qualität der Information 


Die Rechtmäßigkeitsanforderungen des Informationshandelns beziehen sich ne- 
ben der Frage der Befugnis zum Informationshandeln als solcher auf die die 
Qualität der Information. Vor allem sind stets die Gebote der Sachlichkeit und 
Richtigkeit der Informationen und Warnungen sowie das Verhältnismäßig- 


Informationsvorsorge des Staates im Internet, in: Hill/Schliesky (Hrsg.), Die Vermessung 
des virtuellen Raums, 2012, S.73 ff. 

92 Feik, Öffentliche Verwaltungskommunikation, 2007, S. 9. 

9 Gusy, NVwZ 2015, 700 (701). 

94 BVerfGE 105, 279 (304), hält ein Gesetz schon aus tatsächlichen Gründen nicht für 
sinnvoll; Gusy, NVwZ 2015, 700 (701). 

95 BVerfGE 113, 63 (74ff.); BVerwG, NJW 2006, 1303 (1304). 

% BVerfGE 105, 252 (265); Spiecker gen. Döhmann, Rechtswissenschaft 2010, 247 (266). 

97 Anders OVM Münster NW VBI. 2010, 355 (356); OVG Bremen, NJW 2010, 3738 (3738); 
Schoch, EuZW 2011, 388 (393). 

98 BVerfGE 105, 252 (268 f.); BVerfGE 105, 279 (301); EGMR, NVwZ 2010, 177, BVerfG, 
ZUM 2010, 957 (m. Anm. Ladeur): Die Bundeszentrale für politische Bildung dürfe als nicht 
rechtsfähige Anstalt im Geschäftsbereich des Bundesministeriums des Innern die „Aufgabe 
der Staatsleitung“ für einen informationellen Eingriff heranziehen. 
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keitsprinzip zu beachten. Das auf den Inhalt der Information bezogene Sachlich- 
keitsgebot betrifft sowohl die Darstellung der Fakten als auch die grundsätzlich 
zulässigen Wertungen.” Das Richtigkeitsgebot fordert, dass die Tatsachen ein- 
wandfrei erhoben und zusammengestellt wurden, mithin zutreffend sind. Eine 
Verzerrung, Verfälschung oder unangemessene Dramatisierung, auch durch die 
Art und Weise der Darstellung, verbietet sich.” Das Übermaß- und Willkürver- 
bot gilt wie für jedes andere Handeln staatlicher Einrichtungen. !” 

Für den technischen geprägten Bereich der Sicherheit von Netz- und Informa- 
tionssystemen ist es grundsätzlich unproblematisch, die „Wahrheit“ als Kriteri- 
um der Eingriffsqualität heranzuziehen. Der die Rechtsordnung durchziehende 
Wahrheitsgrundsatz ist an sich nicht problematisch, weil die Rechtsordnung auf 
die Ermöglichung eines hohen Maßes an markterheblichen Informationen und 
damit auf Markttransparenz zielt. Dementsprechend schützt Art. 12 GG „nicht 
vor der Verbreitung zutreffender und sachlich gehaltener Informationen am 
Markt, die für das wettbewerbliche Verhalten der Marktteilnehmer von Bedeu- 
tung sein können, selbst wenn die Inhalte sich auf einzelne Wettbewerbspositi- 
onen nachteilig auswirken“. Das Wahrheitskriterium bringt im Verbraucher- 
schutz aber dann Schwierigkeiten in sich, wenn der staatliche Kommunikati- 
onsakt einen über den Inhalt einer Mitteilunghinausreichenden Informationswert 
aufweist.!® 


2. Aufklärung zur Sensibilisierung für Sicherheitsprobleme 


Die allgemeine Wissensvermittlung wird über die Aufklärung vorgenommen, 
die Teil der schlicht hoheitlichen Öffentlichkeitsarbeit ist und keinen bestimm- 
ten Adressatenkreis voraussetzt. Die Aufklärung ist im Grundsatz auf die Be- 


9 BVerfGE 105, 279 (295): keine „diffamierenden oder verfälschenden Darstellungen“; 
BVerfGE 105, 252 (271): keine „unsachlichen oder herabsetzenden Formulierungen“. 

100 BVerfGE 113, 63 (65); zum allgemeinen Verbot staatlicher Desinformation und denk- 
barer Ausnahmen Ingold, Desinformationsrecht: Verfassungsrechtliche Vorgaben für staatli- 
che Desinformationstätigkeit, 2011, S. 76 ff., 90 ff. 

101 BVerfGE 113, 63 (66 ff.). Dass das BSI Empfehlungen ausspricht, an die es sich selbst 
nicht hält, und zudem sachlich falsche Empfehlungen ausspricht, belegt exemplarisch: http:// 
www.golem.de/news/mindeststandards-bsi-haelt-sich-nicht-an-eigene-empfehlung-1310- 
102042.html. 

102 BVerfGE 105, 252 (265). 

103 Dies ist etwa bei verbraucherrechtlichen „Ekellisten“ der Fall, in denen Aufsichtsbe- 
hörden Fotografien im Gaststättenbereich veröffentlichen. Die Suggestivkraft von Bildern 
und die situativen Bedingungen können den „Wahrheitsgehalt“ relativieren. Augsberg, Infor- 
mationsverwaltungsrecht, 2014, S.205 weist auf diese spezifisch mediale Logik der „Auf- 
merksamkeitsökonomie“ hin. 
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wusstseinsbildung gerichtet.'”* Sie soll zu einer kritischen Auseinandersetzung 
mit Problemlagen anregen und dazu befähigen, relevante Gesichtspunkte bei 
Entscheidungen zu berücksichtigen. Es geht darum, etwaige „Unwissenheit 
oder ungenügende Kenntnis über etwas“ zu „beseitigen“. Allgemeines Auf- 
klärungsziel ist die Sensibilisierung hinsichtlich bestimmter Sicherheitsproble- 
me. Damit verbunden ist die Absicht, der Adressat einer Information möge sein 
Verhalten durch freiwillige Vernunft und Einsicht ändern.! Gegenstand der 
Aufklärung ist die Vermittlung von Sachinformationen. Die grundrechtsdog- 
matische Diskussion bezieht sich zumeist auf die Frage, inwiefern Aufklärungs- 
handeln Wertungen aussprechen darf und inwieweit die Form von anderen 
grundrechtseingreifenden Handlungsformen abzugrenzen ist.!?” 

Als Teil der Aufklärungsarbeit können die Berichte der NIS-Behörden (a), 
die Stellungnahmen der Datenschutzaufsichtsbehörden (b) und die Information 
über Sicherheitsvorfälle durch die NIS-Behörden verstanden werden (c). 


a) Berichte der NIS-Behörden 


Die NIS-Richtlinie sieht keine der Aufklärung der Öffentlichkeit dienenden Be- 
richtspflichten vor. Allerdings bestehen einfachgesetzlich Berichtspflichten für 
das BSI (aa) und die Bundesnetzagentur (bb). Unionsrechtlich vorgesehen sind 
die Tätigkeitsberichte der Datenschutzaufsichtsbehörden (cc). 


aa) Bericht des Bundesamts für Sicherheit in der Informationstechnik 


Das BSI berichtet gemäß $ 13 BSIG dem aufsichtsführenden Bundesministeri- 
um des Innern (BMI) über seine Tätigkeit. Der Bericht dient aber nicht nur dem 
Tätigkeitsnachwies des Bundesamtes. Die relevanten Informationen sollen in 
die Sitzungen des Nationalen Cyber-Sicherheitsrates einfließen. Ausweislich 
des Wortlauts dient die Berichtspflicht darüber hinaus der Aufklärung der Öf- 
fentlichkeit. Der Gesetzgeber erkennt damit die zentrale Rolle der Sensibilisie- 
rung für das Thema IT-Sicherheit an.'® Hinsichtlich der Internetsicherheit eig- 
net sich Aufklärung zur Sensibilisierung sowohl der Betreiber und Anbieter als 


104 Gröschner, DVBl. 1990, 619 (620), differenziert. Öffentlichkeitsarbeit sei auf die Wil- 
lensbildung gerichtet, Aufklärung, Empfehlung, Warnung auf die Bewusstseinsbildung des 
Einzelnen; vgl. Kloepfer, Informationsrecht, 2002, $ 10 Rn. 81, der in der staatlichen Öffent- 
lichkeitsarbeit einen Beitrag zur Meinungsbildung sieht. 

105 Feik, Öffentliche Verwaltungskommunikation, 2007, S. 23. 

106 Feik, Öffentliche Verwaltungskommunikation, 2007, S. 24. 

107 Etwa Brandt, Umweltaufklärung und Verfassungsrecht, 1994, S. 91 f. 

108 IT-Sicherheitsgesetz, Gesetzesbegründung, BT-Drs. 18/4096, S. 55; eine weitere jähr- 
liche Berichtspflicht des BSI ist in $ 5 Abs. 10 BSIG statuiert. Diese soll den Innenausschuss 
des Deutschen Bundestages hinsichtlich der Informationstechnik in der Bundesverwaltung 
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auch der Nutzer. Das Instrument der Aufklärung bietet sich vor allem deshalb 
an, weil ein Großteil der Angriffe auf die Sicherheit bereits durch Standardsi- 
cherungsmaßnahmen abgewehrt werden kann. Die Sensibilisierung durch all- 
gemeine Informationen über Gefährdungslagen kann schon darüber Wirkung 
erzielen, dass einfache Maßnahmen ergriffen und leicht umsetzbare Hinweise 
angenommen werden. 

Ein höheres Sicherheitsbewusstsein kann eine allgemein höhere Sicherheits- 
erwartung der Anwender von IT-Produkten zur Folge haben. Eine höhere Er- 
wartung kann in haftungsrechtlicher Sicht zur Begründung einer Verkehrssi- 
cherungspflicht, nach der nur Sicherungsmaßnahmen zu treffen sind, die der 
Verkehr erwarten kann, führen. Die damit verbundene Hersteller- und Anbie- 
terhaftung kann zusätzlich Anreize für die Herstellung sicherer IT-Produkte mit 
sich bringen. 

Fraglich ist aber, ob die Berichtspflicht des BSI ein geeignetes und damit 
verhältnismäßiges Mittel zur Erreichung des Ziels bezeichnet. Berichtspflichten 
sind primär ein Mittel zur Aufsicht von Behörden, sie sind, wie auch in $ 13 
BSIG vorgesehen, in kalendarischen Zyklen zu erstatten. Der Bereich der Netz- 
und Informationssicherheit ist hingegen anlassgetrieben. Typischerweise wer- 
den im Feld der IT-Sicherheit Informationen durch IT-Sicherheitsunternehmen 
oder die Verbände zeitnah und anlassbezogen publiziert. Es bedarf darüber hi- 
naus proaktiver Einzelfallinformation über Sicherheitslagen, die sich über einen 
begrenzten Zeitraum entwickelt haben und denen nur über Austausch von Ana- 
lyse und Wissen begegnet werden kann.'! Soll die Aufklärung wirksam sein 
und zu Schutzmaßnahmen befähigen, kann sie sich nicht der Schnelllebigkeit 
der Materie entziehen. Anders als bei anderen zyklisch anfallenden Informa- 
tionspflichten kann der Rhythmus auch nicht damit begründet werden, dem 
Bericht komme, wie bei den jährlichen „Bemerkungen“ des Bundesrechnungs- 
hofes nach § 97 BHO, eine Entlastungsfunktion zu. Die Aufklärung der Öffent- 
lichkeit dient aber gleichsam der allgemeinen Sensibilisierung, die über anlass- 
bezogene, punktuelle Informationen hinausgeht. Sie dient als Anregung dazu, 
sich mit grundlegenden Phänomenen der Thematik zu beschäftigen. Insofern ist 
an die Wirksamkeit der Berichtspflicht nicht der Maßstab anzulegen, wie er an 
Informationshandeln zu legen ist, das darauf abzielt, konkrete Sicherheitspro- 
bleme zu lösen. Die Berichtspflicht ist demnach grundsätzlich geeignet, die Öf- 
fentlichkeit aufzuklären. 


zum einen über die Anwendung und Umsetzung der Vorschrift informieren, zum anderen 
über die Bedrohungslage und technische Entwicklung, vgl. BT-Drs. 16/13259, S. 7. 

109 Zur Kritik siehe Stellungnahme des FIfF zum IT-Sicherheitsgesetz der Bundesregie- 
rung vom 17.12.2014, S. 13, online abrufbar; vgl. auch Entschließungsantrag zur dritten Be- 
ratung des Gesetzentwurfs der Bundesregierung, BT-Drs. 18/5127, S. 3. 


B. Aktives Informationshandeln 321 


Die Aufklärung der Öffentlichkeit kann dadurch geschwächt werden, dass 
die der Aufklärung dienenden Berichte nicht durch das BSI veröffentlicht wer- 
den. Nicht auf den ersten Blick ist dem Wortlaut von $ 13 BSIG zu entnehmen, 
dass nicht das BSI über den Inhalt der Berichte entscheidet, sondern vorrangig 
dem BMI die Aufklärungsaufgabe zukommt. Erst durch dessen jährlich vorzu- 
legenden zusammenfassenden Bericht wird die Öffentlichkeit über Gefahren 
für die Sicherheit aufgeklärt. Informationen können so im BMI gefiltert werden, 
insbesondere dann, wenn ihrer Veröffentlichung kollidierende Interessen von 
Sicherheitsbehörden entgegenstehen, die ebenfalls der Aufsicht des BMI unter- 
stehen.'!° Der Rechtsfolgenverweis in $ 13 Abs. 2 S.2 BSIG führt zur Anwen- 
dung des gestuften Verfahrens bei Warnungen und damit zur Begrenzung der 
Öffentlichkeitsaufklärung. Der Kreis der zu informierenden Personen kann ein- 
geschränkt werden, wenn die Veröffentlichung zum Missbrauch der Informa- 
tionen führen kann.!!! 


bb) Bericht der Bundesnetzagentur 


Die Bundesnetzagentur hat nach $ 121 TKG dagegen den gesetzgebenden Kör- 
perschaften des Bundes einen Tätigkeitsbericht über die Lage und Entwicklung 
auf dem Gebiet der Telekommunikation vorzulegen. Die Berichtspflicht muss 
nicht auf den Tätigkeitsnachweis verkürzt werden. In der Praxis geht der Be- 
richt zwar nicht über das Referieren der bereichsspezifischen Aufgaben aus dem 
7. Teil des TKG und einiger statistischer Angaben über überprüfte Sicherheits- 
konzepte und eingegangene Meldungen hinaus.!!? Die Tätigkeitsberichte dienen 
aber neben der Information über die eigene Tätigkeit der regelmäßigen parla- 
mentarischen Kontrolle und der Zusammenarbeit zwischen Gesetzgeber und 
Verwaltung.!'? Erleichtert werden soll auch die Beurteilung, ob die Regulie- 
rungsziele gemäß $ 2 TKG erreicht wurden. Die Bundesnetzagentur kann daher 
ohne Mitredaktion des übergeordneten Ministeriums auf die Defizite hinsicht- 
lich des Regelungsziels der öffentlichen Sicherheit ($ 2 Abs. 2 Nr. 9 TKG) hin- 
weisen und darüber Aufklärung betreiben.'* 


10 Siehe zum spezifischen Problem der Weisungsgebundenheit des BSI unter § 4 C. III. 2. 
und dem Responsible-Disclosure-Verfahren unten § 5 B. I. 4. b). 

1 Dazu im Einzelnen § 5 B. I. 

12 Bundesnetzagentur, Tätigkeitsbericht nach § 121 Abs. 1 TKG vom 07.12.2015, Tele- 
kommunikation 2014/2015, S. 218 bis 226, online abrufbar. 

13 Altmeppen/Geppert, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, § 121 Rn. 1; 
BR-Drs. 80/96, S. 52. 

14 Vgl. Böcker, in: Säcker (Hrsg.), TKG, 3. Aufl. 2013, § 121 Rn. 13 ff. 
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cc) Bericht der Datenschutzaufsichtsbehörde 


Der Aufklärung zur Sensibilisierung können ferner die Berichte der Daten- 
schutzbehörden dienen. Nach §§ 26 Abs. 1 S. 1, 38 Abs. 1 S. 1 BDSG haben der 
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die 
sonstigen Datenschutzaufsichtsbehörden dem Deutschen Bundestag alle zwei 
Jahre einen Tätigkeitsbericht zu erstatten. Da die Datenschutzaufsicht instituti- 
onell unabhängig ist und keiner Aufsicht unterliegt,''® kann dem Bericht keine 
Kontrollfunktion zukommen. Daher können die Berichte auch dafür genutzt 
werden, die Öffentlichkeit zu sensibilisieren,'!° über allgemeine Datenschutz- 
probleme und -erfordernisse zu informieren oder zu exemplarischen Einzel- 
fällen Stellung zu nehmen.'!” Sowohl Bürger als auch Fachkreise können über 
abstrakte wie konkrete Gefährdungen informiert werden.''® Die Öffentlichkeit 
ist sogar angesichts der knappen personellen Ausstattung und des damit einher- 
gehenden Durchsetzungsdefizits für Datenschutzbehörden das entscheidende 
Medium dafür, auf datenschutzverantwortliche Stellen einzuwirken.!'? 

Mit der durch die DS-GVO gestärkten Stellung und Ausstattung der Auf- 
sichtsbehörden!? gehen erweiterte Aufklärungsmöglichkeiten einher. Anders 
als in der Datenschutz-Richtlinie ist der Bildungs- und Aufklärungsauftrag der 
Datenschutzaufsicht nun zentral im Aufgabenprofil verankert.'?! Gemäß Art. 57 
Abs. 1 lit. b DS-GVO gehört zu den gesetzlich vorgegebenen Aufgaben der Da- 
tenschutzaufsicht, die Öffentlichkeit für Risiken und Vorschriften im Zusam- 
menhang mit der Datenverarbeitung zu sensibilisieren und sie über diese aufzu- 
klären." Die Aufklärung ist dabei eine Handlungspflicht („muss“). 

Zur durch die DS-GVO formalisierten Öffentlichkeitsarbeit gehört der vorzu- 
legende Tätigkeitsbericht (Art. 59 DS-GVO). Die Berichtszyklen sind kürzer, 
der Tätigkeitsbericht ist als Jahresbericht vorzulegen. Der Bericht ist zwar nicht 
direkt an die Öffentlichkeit zu richten, er ist ihr aber zugänglich zu machen. Die 
Verordnung legt es in das Ermessen der Behörde, dem Bericht eine Liste der 
„Arten“ der gemeldeten Verstöße und der getroffenen Abhilfemaßnahmen bei- 


115 Siehe § 4 C. II. 2. 

116 Vgl. von Lewinski, RDV 2004, 163 (163 ff.). 

117 Von Lewinski, in: Auernhammer, 4. Aufl. 2014, BDSG, $ 26 Rn. 5. 

118 Vgl. VG Schleswig, ZD 2014, 102, nachfolgend OVG Schleswig-Holstein, ZD 2014, 536. 

119 Sjehe zur Öffentlichkeit als „Verbündete“ des Datenschutzbeauftragten BGH, NJW 
2003, 979 (980). 

120 Dazu von Lewinski, DuD 2012, 564 (565). 

121 Roßnagel, Zusätzlicher Arbeitsaufwand für die Aufsichtsbehörden der Länder durch 
die Datenschutz-Grundverordnung, 2017, S. 84. 

122 Vgl. Erwägungsgrund 122, 132 DS-GVO. 
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zufügen.'?? Ob eine schlichte Auflistung von Verstößen und Anordnungen ohne 
nähere Kontexteinbettung aussagekräftig und damit zweckmäßig ist, kann be- 
zweifelt werden. Im Zweifel dürften die Berichte mit technischen, gesellschaft- 
lichen oder wirtschaftlichen Kontextinformationen anzureichern sein. 


b) Stellungnahmen der Datenschutzaufsichtsbehörden 


Als Medium der Aufklärungsarbeit der Datenschutzaufsichtsbehörden kommt 
neben dem Tätigkeitsbericht die Stellungnahme in Betracht. Als beratende Be- 
fugnis ausgestaltet ist das Recht jeder Aufsichtsbehörde, von sich aus oder auf 
Anfrage zu „allen Fragen“ im Zusammenhang mit dem Datenschutz Stellung- 
nahmen an die Öffentlichkeit zu richten (Art. 58 Abs. 3 lit. b DS-GVO). Die 
Datenschutz-Richtlinie sah eine derartige Befugnis nicht vor. Wegen der Offen- 
heit der Befugnis kann die Aufsichtsbehörde auch zu Fragen der Datensicherheit 
Stellung nehmen. Dafür kommen alle Formen amtlicher Äußerungen infrage, 
solange sie den allgemeinen Rechtmäßigkeitsanforderungen entsprechen und 
im Zuständigkeitsbereich der jeweiligen Behörde liegen.'”* 

Ob jedoch Art. 58 Abs. 3 lit. b DS-GVO so ausgelegt werden kann, dass die 
Öffentlichkeit stets Adressat von Stellungnahmen sein kann, ist eine Frage der 
grammatikalischen Auslegung. Vor dem Passus „sowie an die Öffentlichkeit zu 
richten“ hat der Verordnungsgeber die Öffnungsmöglichkeit „im Einklang mit 
dem Recht des Mitgliedstaats“ eingefügt. Diese könnte so verstanden werden, 
dass sie sich nur auf den unmittelbar nachfolgenden Passus bezieht („oder im 
Einklang mit dem Recht des Mitgliedstaats an sonstige Einrichtungen und Stel- 
len“) oder aber auch auf die Öffentlichkeit („sowie“). In der englischsprachigen 
Fassung sind die Einrichtung und Stellen und die Öffentlichkeit ohne das sog. 
serial comma aufgezählt (,,or, in accordance with national law, to other institu- 
tions and bodies as well as to the public“), sodass die Vorschrift auch so ausge- 
legt werden könnte, dass den Mitgliedstaaten ein Gestaltungsspielraum zusteht. 
Dem Sinn der Öffnungsklausel, den Mitgliedstaaten dort einen Konkretisie- 
rungsspielraum einzurichten, wo es den Unionsgesetzgeber überfordern würde, 
entspricht es dagegen eher, dass sich dieser Spielraum nur auf die sonstigen 
Stellen und Einrichtungen bezieht.'?5 Es ist bei der Unterschiedlichkeit der Ver- 
gleichsgruppen auch kein Grund ersichtlich, warum der Verordnungsgeber den 


123 Körffer, in: Paal/Pauly, DSGVO, 2016, Art. 59 Rn. 3. 

124 Vgl. im Zusammenhang mit der Öffentlichkeitsarbeit des Unabhängigen Datenschutz- 
zentrums Schleswig-Holstein über die Datenschutzkonformität des Dienstes Facebook Härting, 
CR 2011, 585 (587£.). 

125 Kühling/Martini/Heberlein/Kühl/Nink/Weinzierl/Wenzel, Die Datenschutz-Grund- 
verordnung und das nationale Recht, 2016, S. 194. 
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Mitgliedstaaten die Disposition über die Öffentlichkeit als Adressat überlassen 
wollte. Die Öffentlichkeit ist demnach stets zulässiger Adressat von Stellung- 
nahmen. 


c) Information über Sicherheitsvorfälle 


Der Gesetzgeber hat auf die geringe Bereitschaft der Unternehmen, Sicherheits- 
vorfälle publik zu machen, mit der Einführung von Meldepflichten reagiert. Die 
Kehrseite der Meldepflichten sind die Befugnisse zur Veröffentlichung von Si- 
cherheitsverletzungen (aa). Für Verletzungen des Datenschutzes besteht mit 
dem Inkrafttreten der DS-GVO dagegen keine datenschutzbehördliche Befug- 
nis mehr, die Öffentlichkeit zu informieren (bb). 


aa) Unterrichtung über Sicherheitsverletzungen 


Veröffentlicht werden können Sicherheitsverletzungen bei Telekommunikations- 
unternehmen (1). Das BSI verfügt über keine Informationsbefugnis, obwohl sie 
unionsrechtlich eingefordert wird (2). 


(1) Sicherheitsverletzungen bei Telekommunikationsunternehmen 


Die nationale Regulierungsbehörde im Telekommunikationssektor kann nach 
Art. 13a Abs. 3 UAbs.2 S.2 Rahmen-RL die Öffentlichkeit unterrichten oder 
die Unternehmer zur Information der Öffentlichkeit verpflichten. Diese unions- 
rechtliche Vorgabe ist mit $ 109 Abs. 5 S. 7 TKG umgesetzt. Danach ist die Bun- 
desnetzagentur befugt, die Öffentlichkeit über eine gemeldete Sicherheitsverlet- 
zung zu informieren. Alternativ kann sie die Telekommunikationsbetreiber und 
Diensteanbieter zu dieser Unterrichtung auffordern, wenn sie zu dem Schluss 
gelangt, die Bekanntgabe der Sicherheitsverletzung liege im öffentlichen Inte- 
resse, § 109 Abs. 5 S. 7 HS. 2 TKG. Die strenge Begründung zum Entwurf die- 
ser Regelung hebt hervor, dass eine Unterrichtung nur erfolgen darf, wenn es 
das öffentliche Interesse erfordert.'?° In der mehrpoligen Grundrechtssituation 
stehen sich das Interesse des Unternehmens, nicht durch hoheitliche Äußerun- 
gen beeinträchtigt zu werden, und das Interesse der Öffentlichkeit an der Auf- 
klärung über potenzielle Gefahren gegenüber. 

In dieser Abwägung liegt eines der drängendsten Probleme der Internetsicher- 
heit: die Divergenz von Wahrheit und Version. Bei einer bestimmteren Kenntnis 
über kritische Sicherheitsprobleme kann es begründet sein, dass es vertraulich 
behandelt wird. Gelangt dieses Wissen an die Öffentlichkeit, könnte es nämlich 
für unredliche Zwecke genutzt werden. Geheimhaltung kann jedoch auch darauf 


126 BT-Drs. 17/5707, S. 83. 
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zielen, bestimmte Sicherheitsprobleme zu verdecken: „Denn Sicherheitsproble- 
me sind in der Regel auch Ausdruck eines Versagens.“!?’ Das Interesse an der 
Nichtöffentlichkeit von Sicherheitslücken kann monetäre Gründe haben, denn 
Sicherheit wird regelmäßig als Kostenfaktor und nicht als Investition betrach- 
tet.'?® Werden Sicherheitsvorfälle bei einem Unternehmen in der Öffentlichkeit 
bekannt, kann der Eindruck eines unzureichenden Sicherheitsstands entstehen. 
Es ist den Betroffenen ohnehin kaum einsichtig einen Imageschaden durch die 
Publikation eines Sicherheitsschadens und damit einen Vertrauensverlust zu ris- 
kieren, der ohnehin bereits entstanden ist. Daher gelangen Informationen über 
Sicherheitsangriffe und -vorfälle kaum an die Öffentlichkeit.'” 

Das öffentliche Interesse erfordert demnach die Veröffentlichung grundsätz- 
lich nicht, wenn dieser berechtigte, überwiegende Interessen der betroffenen 
Unternehmen entgegenstehen. Dies ist insbesondere dann der Fall, wenn durch 
die Veröffentlichung schwerwiegende Folgen drohen. Das öffentliche Interesse 
an der Unterrichtung der Öffentlichkeit über eine Sicherheitsverletzung besteht 
dagegen dann, wenn der Verdacht begründet ist, durch das Unterlassen der Ver- 
öffentlichung entstehe in der Öffentlichkeit eine subjektive Wahrnehmung von 
Sicherheit, die von der Wirklichkeit divergiert. Die Öffentlichkeit sollte erken- 
nen können, ob persönlicher oder politischer Handlungsbedarf besteht. Berück- 
sichtigung bei der Ausübung des pflichtgemäßen Ermessens sollte außerdem 
der Umstand finden, dass die proaktive Information der Öffentlichkeit durch die 
NIS-Behörde Dritten überhaupt Anlass gibt, gegenüber der Behörde konkrete 
Auskunftsansprüche über entsprechende Vorfälle geltend zu machen.'?® 

Aus Gründen der Verhältnismäßigkeit kann es geboten sein, als milderes 
Mittel das Unternehmen aufzufordern, selbst die Öffentlichkeit zu unterrichten. 
Der Grundrechtseingriff fällt insoweit milder aus, als sich das Unternehmen als 
„Herrin der Publikumsinformation“ gerieren und insoweit das „Gesicht wah- 
ren“ kann. Die Wahl des Inhalts und der Form der Benachrichtigung sind dem 
Unternehmen anheimgestellt. Ob die Unternehmen zu einer unverzüglichen Pu- 
blikumsinformation verpflichtet werden können, kann aufgrund des nicht ein- 
deutigen Wortlauts des $ 109 Abs. 5 S. 7 TKG in Zweifel gezogen werden („auf- 


127 Gaycken, Offizielle Versionen versus mögliche Wahrheiten — Cybersecurity und das 


Problem der Geheimhaltung, in: Haupter (Hrsg.), Der digitale Dämon, 2013, 49 (49). 

128 Zu den fehlenden ökonomischen Anreizen in der Cybersicherheit siehe $ 1 A. 

129 Lovet, Fighting cybercrime: Technical, juridical and ethical challenges, Virus Bulletin 
Conference Proceedings, 2009, 63 (63 £.); vgl. Vogel, Towards a global convention against 
cybercrime, Proceedings World Conference on Penal Law, 2007, 1 (4); Gaycken, Offizielle 
Versionen versus mögliche Wahrheiten — Cybersecurity und das Problem der Geheimhal- 
tung, in: Haupter (Hrsg.), Der digitale Dämon, 2013, 49 (49 ff.). 

130 Siehe zum reaktiven Informationshandeln § 5 C. 
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fordern“).'3! Eine Anordnungsbefugnis dürfte jedoch wohl dann anzunehmen 
sein, wenn schwerwiegende Sicherheitsverletzungen gegeben sind.'”? 


(2) Fehlende Rechtsgrundlage für das BSI 


Eine der telekommunikationsrechtlichen Grundlage entsprechende Veröffentli- 
chungsbefugnis besteht für das BSI nicht. Gleichwohl ist das grundsätzliche 
Interesse der Öffentlichkeit daran, über Bedrohungen und sicherheitsrelevante 
Vorfälle informiert zu werden, in der NIS-Richtlinie anerkannt.'?? 

Über einzelne, gemeldete Sicherheitsvorfälle bei Betreibern wesentlicher 
Dienste und Anbietern digitaler Dienste soll die NIS-Behörde oder das CSIRTs 
unterrichten dürfen. Über Sicherheitsvorfälle bei Betreibern wesentlicher 
Dienste soll die Öffentlichkeit gemäß Art. 14 Abs. 6 NIS-RL nach Anhörung 
der Betreiber unterrichtet werden können, sofern die Sensibilisierung der Öf- 
fentlichkeit zur Verhütung von Sicherheitsvorfällen oder zur Bewältigung aktu- 
eller Sicherheitsvorfälle erforderlich ist. Die Unterrichtung der Öffentlichkeit 
über Sicherheitsvorfälle bei Anbietern digitaler Dienste oder deren Offenlegung 
kann gemäß Art. 16 Abs. 7 NIS-RL zusätzlich dann erfolgen, wenn sie auf sons- 
tige Weise im öffentlichen Interesse liegt. 

Die Reichweite dieser unionsrechtlich intendierten Informationstätigkeit 
hängt vom Bedeutungsgehalt der Unterrichtung ab. Als typisierte Erscheinungs- 
form ist sie noch wenig systematisiert.'”* Aus dem Wortlaut ergibt sich aber, 
dass eine Befugnis gegeben sein muss, die es erlaubt, über einzelne Sicherheits- 
vorfälle zu unterrichten. Im Umkehrschluss ist den Mitgliedstaaten nicht ledig- 
lich aufgegeben, eine nur abstrakt-generelle Informationsmöglichkeit einzufüh- 
ren, sondern eine Rechtsgrundlage zu schaffen, welche die NIS-Behörde zu 
verhältnismäßigen Informationseingriffen ermächtigt. 

Die bestehenden Rechtsgrundlagen setzen die in der NIS-Richtlinie vorgese- 
henen Befugnisse nicht um. 

Die zentrale Vorschrift, die dem BSI Unterrichtungspflichten auferlegt, ist 
$ 8b Abs. 2 Nr. 4 BSIG. Die Öffentlichkeit als Adressat der Unterrichtung ist 
jedoch in keiner Variante genannt.'”° Die Information einer Vielzahl von Infra- 


BI Eckhardt, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, § 109 Rn. 84, der aber 
nur wegen einer fehlenden Zeitangabe darauf schließt, dass eine Pflicht zur unverzüglichen 
Verpflichtung nicht besteht. 

132 Anders wohl Eckhardt, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, § 109 Rn. 84. 

133 Erwägungsgrund 40 und 59 NIS-RL. 

134 Keine eigene Erscheinungsform ist die Unterrichtung bei Feik, Öffentliche Verwal- 
tungskommunikation, 2007, S. 7ff., als Kategorie der behördlichen Publikumsinformation 
hingegen bei Schoch, VBIBW 2014, 361 (364). 

135 Irritierenderweise führt die Begründung, BT-Drs. 17/5707, S. 46, aus, dass die Öffent- 
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strukturbetreibern kann zwar einer Publikumsinformation gleichkommen, eine 
Information der allgemeinen Öffentlichkeit kann sich auf diese Vorschrift je- 
doch nicht stützten. 

Der telekommunikationsrechtliche $ 109 Abs. 5 S.4 TKG verfolgt zwar das 
der NIS-Richtlinie zugrundeliegende Regelungsanliegen der Öffentlichkeitsin- 
formation, der Anwendungsbereich bezieht sich jedoch nicht auf digitale und 
wesentliche Dienste im Sinne der NIS-Richtlinie. 

In Betracht kommt außerdem $ 7 BSIG, der dem BSI erlaubt, Warnungen und 
Empfehlungen an die Öffentlichkeit zu richten.'° Ungeachtet der Frage, ob die 
Unterrichtung als Minus zur Warnung auf diese Grundlage gestützt werden 
kann, sieht $ 7 BSIG schon tatbestandlich nicht vor, dass über Sicherheitsvorfäl- 
le informiert werden kann. Außerdem sieht das Mandat in $ 7 BSIG lediglich 
die Information der betroffenen Hersteller vor der öffentlichen Warnung vor 
(„informieren“). Das von Art. 14 Abs. 6 und Art. 16 Abs. 7 NIS-RL vorgesehene 
Anhörungsverfahren wird von § 7 BSIG nicht abgebildet." 

Als Legitimitätsgrundlage für Publikumsinformationen ließe sich schließlich 
die mit dem IT-Sicherheitsgesetz erweiterte Aufgabennorm in $3 Abs. 1 S.2 
Nr. 2 BSIG heranziehen. Das BSI nimmt demnach die Aufgabe wahr, Erkennt- 
nisse „Dritten“ zur Verfügung stellen, soweit dies zur Wahrung ihrer Sicher- 
heitsinteressen erforderlich ist. Dritte sind sonstige Einrichtungen, Unterneh- 
men aus anderen Sektoren außerhalb der kritischen Infrastrukturen sowie die 
Zivilgesellschaft. Die Qualität als Aufgabennorm lässt es jedoch nur bedingt zu, 
eine Publikumsinformation auf sie zu stützen, die über allgemeine Angaben 
eines Sicherheitsvorfalls hinausgeht. Informationen mit Prangerwirkung (name 
and shame), welche negative Rückschlüsse auf Unternehmen oder die Branche 
zulassen, oder weiterführende Angaben über Produkt, Täter, Betroffene, Folgen 
usw. wären auf dieser Grundlage grundsätzlich unzulässig. Gezielte Steue- 
rungseffekte können auf Grundlage von $ 3 BSIG also nicht erreicht werden. 

Im Rahmen der Umsetzung des Regelungsanliegens, über Bedrohungen und 
Sicherheitsvorfälle die Öffentlichkeit zu informieren, erscheint es sinnvoll, die 
Informationen auf europäischer Ebene zu aggregieren sowie kontinuierlich in 
mehreren Landessprachen zugänglich zu machen. Die im Unionsrecht angeleg- 


lichkeit informiert wird, wenn das öffentliche Interesse dies erfordert. Nur als Redaktions- 
versehen kann es angesehen werden, dass diese Ausführung im Zusammenhang mit $ 8b 
Abs. 2 Nr. 4 BSIG steht, der ausdrücklich die Öffentlichkeit nicht als Adressat zulässt. Aus- 
weislich des Fehlens der Öffentlichkeit als potenzieller Adressat kann diese, als Redaktions- 
versehen zu betrachtende, Aussage nicht darüber hinweghelfen, dass die Vorschrift abschlie- 
Bend ist. 

136 Siehe § 5 B. I. 4. und 5. 

137 Vgl. Schallbruch, CR 2016, 663 (668 f.). 
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te Parallelstruktur der Veröffentlichungsbefugnisse bei der Bundesnetzagentur 
und der NIS-Behörde führt dazu, dass die interessierte Öffentlichkeit, die sich 
nicht auf einen Mitgliedstaat beschränkt, auf mehrere Anlaufstellen verwiesen 
ist. Richtig ist insofern der Ansatz, dem Sekretariat des CSIRTs-Netzwerk die 
Aufgabe zu übertragen, eine Internetseite zu unterhalten, auf der die übermittel- 
ten Daten mit Fokus auf die Interessen und Bedürfnisse der Unternehmen ver- 
öffentlicht werden. Die unionsrechtlichen Vorgaben bleiben hier aber schwach. 18 
Wirksam wäre eine solche Transparenzmaßnahme, wenn die unionsweite Ver- 
öffentlichung auch Hinweise zur möglichen Risikobegrenzung und Bewälti- 
gung von Sicherheitsvorfällen beinhalten würde.!” 


bb) Veröffentlichung einer Verletzung des Schutzes personenbezogener Daten 
durch Verantwortliche 


Verletzungen des Schutzes personenbezogener Daten sind unter bestimmten 
Voraussetzungen publik zu machen. Anders als bei Verletzungen der Netz- und 
Informationssicherheit steht die Befugnis, die Öffentlichkeit über eine Verlet- 
zung zu informieren, nicht der Datenschutzbehörde selbst zu. Die Öffentlichkeit 
ist vielmehr durch die verantwortlichen Stellen selbst zu informieren. 

Bei Internetdiensteanbietern ist hinsichtlich dieser Veröffentlichungspflicht 
zu unterscheiden. 

Für Anbieter von Telemedien gilt durch den Rechtsfolgenverweis in $ 15a 
TMG auf § 42a BDSG das allgemeine Datenschutzrecht.'° Die Regelung des 
8 42a BDSG sieht in Satz 5 vor, das an Stelle der Benachrichtigung des von der 
Verletzung Betroffenen die Information der Öffentlichkeit tritt, und zwar durch 
Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bun- 
desweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirk- 
samkeit hinsichtlich der Information der Betroffenen gleich geeigneten Maß- 
nahme. Die Betroffenen sollen in verständlicher Form über drohende Beein- 
trächtigungen informiert werden, damit erforderliche Maßnahmen zur Abwehr, 
zur Begrenzung oder zum Ersatz eines Schadens getroffen werden können.'*! 


138 Erwägungsgrund 16 NIS-RL. 

139 So noch angedacht im Bericht des Europäischen Parlaments über den Vorschlag für 
eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewähr- 
leistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union vom 
12.02.2014 (A7-0103/2014). Die Informationen sollten zudem geräteunabhängig zugänglich 
sein und sogar die Veröffentlichung von personenbezogenen Daten erlauben, falls dies not- 
wendig wäre. 

140 Siehe bereits § 3 D. I. 3. 

14 Gola/Klug/Körffer, in: Gola/Schomerus (Hrsg.), BDSG, 12. Aufl. 2015, § 42a Rn. 6. 
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Die Information der Öffentlichkeit erfolgt nur bei einem unverhältnismäßi- 
gen Aufwand einer Benachrichtigung der einzelnen Betroffenen. Dies ist insbe- 
sondere bei einer Vielzahl der Betroffenen der Fall oder dann, wenn deren Kon- 
taktdaten nicht bekannt sind.'*? 

Eine § 42a BDSG entsprechende Verpflichtung enthält Art. 34 Abs. 3 lit. c 
DS-GVO. Eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme hat 
bei einem unverhältnismäßigen Aufwand der einzelnen Benachrichtigung zu 
erfolgen. Die betroffenen Personen sollen „wirksam informiert“ werden. Dem- 
zufolge bezweckt die Veröffentlichung nicht primär die Information der Öffent- 
lichkeit als solche, sondern sie ist nur Medium, um letztlich die von der Verlet- 
zung Betroffenen zu erreichen. 

Für Anbieter öffentlicher Kommunikationsdienste besteht keine Vorschrift, 
die die gleichen Tatbestandsvoraussetzungen und Rechtsfolgen wie in § 42a 
BDSG in Verbindung mit $ 15a TMG regelt. $ 109a Abs. 1 S.5 TKG verweist 
nur auf $42a S.6 BDSG. Eine an die Öffentlichkeit gerichtete Informations- 
pflicht besteht für Telekommunikationsdiensteanbieter daher nicht. Die DS- 
GVO dürfte jedoch für Telekommunikationsdienste, ebenso wie für Telemedi- 
endienstanbieter, eine Harmonisierung im Bereich der Veröffentlichungspflicht 
bei Verletzungen des Datenschutzes bewirken. Art. 95 DS-GVO, der das Ver- 
hältnis der DS-GVO zur RL 2002/58/EG regelt, nimmt Betreiber von Telekom- 
munikationsdiensten nur insoweit von den Verpflichtungen der DS-GVO aus, 
als keine zusätzlichen Pflichten in Bezug auf die Verarbeitung in Verbindung 
mit der Bereitstellung der Kommunikationsdienste durch sie auferlegt werden 
und soweit die Betreiber besonderen in der RL 2002/58/EG festgelegten Pflich- 
ten unterliegen, die dasselbe Ziel verfolgen. Da die Vorgaben zur Verarbeitung 
nicht die Benachrichtigungspflicht betreffen, dürfte von der DS-GVO eine har- 
monisierende Wirkung ausgehen. 


3. Veröffentlichung von Sicherheitsanforderungen und 
Untersuchungsergebnissen 


Über die Aufklärung zur Sensibilisierung für Sicherheitsprobleme hinaus geht 
die Veröffentlichung der Sicherheitskataloge für Telekommunikationsunterneh- 
men (a) und der Erkenntnisse aus Produkt- und Systemuntersuchungen (b). 


142 Herbst, in: Auernhammer, BDSG, 4. Aufl. 2014, $ 42a Rn. 22; vgl. BT-Drs. 16/12011, 
S. 34. 
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a) Veröffentlichung des Sicherheitskatalogs 


Den Sicherheitskatalog, den die Bundesnetzagentur im Einvernehmen mit dem 
BSI und dem BfDI erstellt, hat die Bundesnetzagentur nach § 109 Abs. 6 S. 3 
TKG zu veröffentlichen.'** Der Katalog enthält eine kurze, allgemein gehaltene 
Auflistung von Sicherheitsempfehlungen, die die Grundlage für den sicheren 
Betrieb internetbasierter Telekommunikationssysteme bilden." Der Sicher- 
heitskatalog hat die Funktion, den zur Sicherheit verpflichteten Telekommuni- 
kationsunternehmen grundsätzliche inhaltliche Hinweise und Empfehlungen zu 
geben. Umfassende Maßnahmeempfehlungen enthält der Katalog nicht.'* 
Gleichwohl erhalten auch Anbieter von Sicherheitsprodukten und -systemen In- 
formationen darüber, welche Anforderungen an die IT-Sicherheit im Hinblick 
auf das Betreiben von Telekommunikations- und Datenverarbeitungssystemen 
staatlicherseits gestellt werden. Insofern wird für die Anbieter auf dem Markt 
eine gewisse Transparenz darüber geschaffen, welche Nachfrage grundsätzlich 
besteht. 


b) Veröffentlichung der Erkenntnisse aus Produkt- und Systemuntersuchungen 


Die Befugnis des BSI, IT-Produkte mittels Reverse Engineering zu untersu- 
chen, dient neben dem Auffinden von Schwachstellen der Erhöhung der Sicher- 
heit durch Veröffentlichung der gewonnenen Erkenntnisse. Auf Grundlage von 
§ 7a Abs. 2 S. 2 BSIG darf das Amt die gewonnenen Erkenntnisse weitergeben 
und veröffentlichen. Eine unionsrechtliche Vorgabe liegt $ 7a BSIG nicht zu- 
grunde. 

Aufgrund der Bindung der Veröffentlichungsbefugnis an drei Aufgaben des 
BSI ($3 Abs. 1 S.2 Nr. 1, 14 und 17 BSIG) wird betont, dass die Vorschrift 
„streng [...] beschränkt“!* ist. Die nähere Betrachtung der Aufgabennormen 
ergibt gleichwohl, dass Erkenntnisse zu weit definierten Zwecken weitergege- 
ben und veröffentlicht werden dürfen. So schließt $3 Abs. 1 S.2 Nr. 17 BSIG 
die Beratung und Warnung der Stellen des Bundes und der Länder sowie der 
Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informa- 


143 Dazu bereits § 3 D. I. 2. (1). 

144 Der Katalog von Sicherheitsanforderungen Version 1.1 ist mit der Veröffentlichung im 
Amtsblatt Nr. 3 der Bundesnetzagentur am 17.02.2016 in Kraft getreten. Funktional äquiva- 
lent ist § 11 Abs. 1c S. 2 EnWG. 

145 Bundesnetzagentur, Katalog von Sicherheitsanforderungen, Version 1.1, Stand 07.01. 
2016, S. 50 f., online abrufbar. 

146 Bundesnetzagentur, Katalog von Sicherheitsanforderungen, Version 1.1, Stand 07.01. 
2016, S. 5, online abrufbar. 

47 Terhaag, IT-Sicherheitsgesetz, 2015, S. 39. 
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tionstechnik unter Berücksichtigung der möglichen Folgen fehlender oder un- 
zureichender Sicherheitsvorkehrungen ein. Die Veröffentlichung ist demnach 
nicht auf die Sicherheit in kritischen Infrastrukturen begrenzt. Augrund des 
Merkmals „Beratung“ muss die Veröffentlichung keinen Appellcharakter auf- 
weisen. Sie kann allgemein dazu dienen, auf die sicherheitstechnischen Impli- 
kationen einer gewonnenen Erkenntnis hinzuweisen. In Abgrenzung zur Wei- 
tergabe ermöglicht es die Veröffentlichung, über die unmittelbar Betroffenen 
hinaus Interessierte zu erreichen. Die Veröffentlichung ist angezeigt, wenn die 
Erkenntnis einen Bezug zum europäischen Binnenmarkt aufweist. 

Der Schutz der Hersteller vor dem behördlichen Informationshandeln ist stär- 
ker ausgestaltet. Anders als bei der Warnung vor Sicherheitslücken in informa- 
tionstechnischen Produkten und Diensten werden die Hersteller vor der Veröf- 
fentlichung nicht nur lediglich informiert. Sie dürfen vielmehr vor der Publika- 
tion Stellung nehmen. Gelingt dem Hersteller des untersuchten Produkts bei 
einem Fehler also die Abhilfe, ist die Veröffentlichung des Fehlers aus Gründen 
der Verhältnismäßigkeit grundsätzlich unzulässig, da sie nicht mehr erforder- 
lich wäre. !$ 

Aufgrund der mit dem IT-Sicherheitsgesetz eingeführten Veröffentlichungs- 
befugnis erweitert sich das Informationsrecht des BSI. Mit der Warnbefugnis in 
8 7 BSIG war immerhin ein gewisser Nukleus eines digitalen IT-Informations- 
rechts zu erkennen. Das Gefahrenabwehrrecht verfügt aber ohne die Regelung 
des $ 7a BSIG nicht über ausreichende Instrumente, um über die von Produkten 
ausgehenden Risiken für Daten, insbesondere für mit dem Persönlichkeitsrecht 
verbundene Nutzerdaten, zu informieren. Das klassische Produktsicherheits- 
recht hält zwar mit Art. 16 Abs. 2 VO (EG) Nr. 756/2008 bzw. $31 Abs. 2 S. 1 
ProdSG eine Rechtsgrundlage zur Publikumsinformation bereit. Die Markt- 
überwachungsbehörden sind sogar grundsätzlich verpflichtet, Informationen 
über gefährliche Produkte zu veröffentlichen. Der Anwendungsbereich des 
ProdSG ist bei Soft- und Hardware-Produkten jedoch nicht abschließend ge- 
klärt.” Die produktsicherheitsrechtliche Veröffentlichungspflicht knüpft im 
Übrigen an eine Verbindung der Erkenntnis zu Produkten an Risiken für die 
Sicherheit und Gesundheit von Personen. Demgegenüber geht $ 7a Abs. 2 BSIG 
durch die Aufgabenverweisung deutlich weiter, wenn die Folgen fehlender oder 
unzureichender Sicherheitsvorkehrungen lediglich zu berücksichtigen sind. 
Die Folgen müssen nicht nur am Maßstab hochrangiger Rechtsgüter, sondern 
können anhand der Schutzziele der Netz- und Informationssicherheit beurteilt 
werden. 


48 Vgl. BT-Drs. 18/4096, S. 25. 
19 Siehe §3 D. II. 1. 
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4. Warnungen vor Sicherheitslücken und sonstigen Gefahren 


Eine wichtige Regelung für staatliches Informationshandeln im Bereich der 
IT-Sicherheit ist die mit „Warnungen“ überschriebene und mit dem IT-Sicher- 
heitsgesetz neu gefasste Befugnis des $ 7 BSIG. Die Warnbefugnis ermöglicht 
es dem BSI, seine gewonnenen Erkenntnisse als Warnung an die Öffentlichkeit 
oder an betroffene Kreise zu richten. Das BSI kann zur Wahrnehmung dieser 
Aufgabe Dritte einbeziehen. Ausdrücklich sind Warnungen vor Sicherheits- 
lücken in IT-Produkten und -Diensten, vor Schadprogrammen sowie im Falle 
des Abs. 1 vor einem Datenverlust oder einem unerlaubten Datenzugriff ge- 
stattet. !”° 

Die Anwendung der als Ermessensvorschrift ausgestalteten Befugnis (a) 
muss die besondere, mitunter adversarische Interessenkonstellation berücksich- 
tigen (b). 


a) Voraussetzungen und Reichweite des Tatbestands 


8 7 BSIG unterscheidet die Warn- und Empfehlungsbefugnis. Die Möglichkeit, 
vor Sicherheitslücken, Schadprogrammen und Datenschutzvorfällen unter 
Nennung oder Verzicht auf eine namentliche Hersteller- oder Produktbezeich- 
nung zu warnen sowie Empfehlungen auszusprechen, ist weitreichend. In Be- 
tracht kommen sämtliche geeignete Kommunikationsmittel. Eine gesetzliche 
Begrenzung auf ein bestimmtes Medium wie in $42a Abs. 1 BDSG ist nicht 
vorgesehen. Vor allem dürften elektronische Verteiler für eine öffentliche Infor- 
mation infrage kommen. 

Greift die namentliche Erwähnung der Unternehmen und der Produkte in 
rechtlich geschützte Interessen Dritter ein, bedarf es entsprechend $ 7 Abs. 2 
S. 1 BSIG hinreichender Anhaltspunkte dafür, dass Gefahren für die IT-Sicher- 
heit von den Produkten oder Diensten, etwa durch Sicherheitslücken, ausgehen. 
Die Hersteller sind zudem gemäß $ 7 Abs. 1 S.3 vor der Veröffentlichung zu 
informieren, solange dies ohne Zweckgefährdung möglich ist. Eine Befugnis, 
zur Lückenschließung anzuweisen, besteht indes nicht. Aus den allgemeinen 
Kriterien der Sachlichkeit, Richtigkeit und Verhältnismäßigkeit folgt, dass, 
wenn möglich, auf eine namentliche Nennung zu verzichten ist und so die Inter- 


150 Buchberger, in: Schenke/Graulich/Ruthig (Hrsg.), Sicherheitsrecht des Bundes, 2014, 
BSIG, $ 7 Rn. 1. Der Gesetzeswortlaut des $ 7 Abs. 1 S. 1 BSIG a. F. vor Erlass des IT-Sicher- 
heitsgesetzes sprach noch von einem „weitergeben“ von Warnungen; nunmehr ist klarge- 
stellt, dass das BSI nicht nur zur bloßen Weitergabe von Informationen berechtigt ist. Die 
Warnbefugnis bei Datenverlust und einem unerlaubten Zugriff in § 7 Abs. 1 S.1 Nr.1 c) 
BSIG wurde durch das IT-Sicherheitsgesetz neu in das BSIG aufgenommen. 
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essen des betroffenen Unternehmens vor allem mit Blick auf potenzielle 
Rufschädigungen und wirtschaftliche Nachteile zu berücksichtigen sind."! 

Eine Pflicht zur Warnung vor Gefahren statuiert die Norm entgegen Forde- 
rungen im Gesetzgebungsverfahren nicht,'” sie ist als Ermessensvorschrift 
(„kann“) ausgestaltet. Eine Pflicht zur Veröffentlichung von Sicherheitslücken 
ließe sich allenfalls bei einer Ermessensreduzierung auf null annehmen. Die 
Ermessensausübung wird geleitet durch die Abwägung mit den Gefahren und 
Schäden, die bei einer Veröffentlichung durch die Möglichkeit noch nicht be- 
hobener Sicherheitslücken drohen. Eine Zurückhaltung bei der Warnung über 
bestehende Sicherheitsgefahren kann sich ebenso aus den Interessen der betrof- 
fenen Hersteller ergeben. Dem Prinzip der verantwortungsvollen Veröffentli- 
chung ist regelmäßig Vorzug zu geben.'” Bei der Empfehlung bestimmter Pro- 
dukte ist das BSI durch die Beachtung des Gleichheitsgrundsatzes aus Art. 3 
GG begrenzt. Schließlich ist auch eine dysfunktionale Einflussnahme auf den 
Markt zu vermeiden." 


b) Responsible Disclosure als ermessensleitende Strategie für die Warnung 
vor Sicherheitslücken 


Der Versuch, das staatliche Informationshandeln durch abstrakte und formelle 
Kriterien in einer eigenständigen Dogmatik einzuhegen, ist als gescheitert an- 
gesehen worden." Schon im Ansatz ist vielfach keine Lösung in der Abwägung 
ersichtlich, die hinsichtlich Eignung und Erforderlichkeit für jedes der kollidie- 
renden Rechtsgüter zu einem positiven Ergebnis kommt, soweit die Abwägung 
nur zugunsten der einen oder der anderen Position fallen kann. Zur Herstellung 
praktischer Konkordanz muss daher „auf Stufe der Angemessenheit eine Abwä- 
gung erfolgen, die die jeweiligen Vor- und Nachteile bei der Verwirklichung der 
verschiedenen betroffenen Rechtsgüter in ihrer Gesamtheit einbezieht“! 

Die Frage, ob und wann vor Sicherheitslücken zu warnen ist bzw. diese zu 
veröffentlichen sind, ist besonders kontrovers und sensibel. Im Lichte der ge- 
nannten Abwägungsmaxime lässt sich für die an die Öffentlichkeit gerichtete 


15! Die Namensnennung ist aus Gründen der Verhältnismäßigkeit prinzipiell zurückhal- 
tend vorzunehmen, vgl. für das Lebensmittelrecht Teufer, K&R 2013, 629 (632 £.). 

152 So etwa die persönliche Stellungnahme von Pfitzmann an den Innenausschuss des 
Bundestages vom 07.05.2009, S. 3, online abrufbar. 

133 Dazu sogleich. 

154 Buchberger, in: Schenke/Graulich/Ruthig (Hrsg.), Sicherheitsrecht des Bundes, 2014, 
BSIG, § 7 Rn. 3. 

155 So und mit möglichen Inhalten einer allgemeinen Dogmatik Feik, Öffentliche Verwal- 
tungskommunikation, 2007, S. 187 ff. (191). 

156 BVerwG, BeckRS 2009, 41565 (Rn. 11). 
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Warnung vor Sicherheitslücken auf Grundlage von $ 7 BSIG gleichwohl eine 
Strategie formulieren, die das Ermessen des BSI leiten sollte. 

Im Ausgangspunkt können zwei Grundtypen der Veröffentlichung von Si- 
cherheitslücken unterschieden werden. Jede Veröffentlichungsform kann je- 
weils spezifische Risiken, Kosten und kognitive Erfolge mit sich bringen.'”’ Die 
beiden Extremmodelle sind auf der einen Seite die sog. Full Disclosure,!”® die 
frühzeitigste und zwingende Veröffentlichung von Sicherheitslücken, und auf der 
anderen Seite die Non-Disclosure,'®” die Nichtveröffentlichung von Schwach- 
stellen. In der dem IT-Sicherheitsgesetz vorangegangenen Debatte wurde die 
Forderung laut, das BSI im Sinne einer Full Disclosure zur Veröffentlichung 
von IT-Sicherheitslücken zu verpflichten. Der Präsidiumsarbeitskreis „Daten- 
schutz und IT-Sicherheit“ der Gesellschaft für Informatik e.V. kritisierte den 
Entwurf des IT-Sicherheitsgesetzes unter anderem deshalb, weil der Entwurf 
nicht vorsah, Zero-Day-Vulnerabilities!° zwingend zu veröffentlichen.’ In 
diesem Zusammenhang steht auch die Kritik des Chaos Computer Club (CCC) 
an der Ankündigung des Bundesnachrichtendienstes, auf dem Schwarzmarkt 
sogenannte Zero-Day-Exploits aufzukaufen.'!® Die Entstehung eines Schwarz- 
marktes solle vielmehr dadurch verhindert werden, dass Sicherheitslücken kon- 
sequent veröffentlicht werden, damit diese geschlossen werden. Das hinter der 
Full Discolure stehende Sicherheitsprinzip kann als security through transpa- 
rency, das des gegenläufigen Modells der Non-Disclosure als security through 
obscurity beschrieben werden. Nach diesem Ansatz soll die Sicherheit dadurch 
gewährleistet werden, dass der Kreis derjenigen, die Sicherheitslücken kennen, 


157 CencinilYu/Chan, Software Vulnerabilities, 2005, S. 9. 

158 Schneier, Full Disclosure of Security Vulnerabilities is a ‚Damned Good Idea‘, 2007, 
online abrufbar. 

159 Bundesamt für Sicherheit in der Informationstechnik, Handhabung von Schwachstel- 
len, 2015, S. 1. 

160 Zero-Day-Vulnerabilities sind unveröffentlichte und nicht behobene Sicherheitslücken 
in der Software, die zu Exploits führen können. 

161 Gesellschaft für Informatik, IT-Sicherheitsgesetz schafft Unsicherheit, Meldung vom 
18.11.2014, abrufbar unter: http://www.gi.de/aktuelles/meldungen/detailansicht/article/it-si- 
cherheitsgesetz-schafft-unsicherheit.html. 

162 Chaos Computer Club, CCC verurteilt den Ankauf von „Odays“ durch den BND, Presse- 
mitteilung vom 11.10.2014, abrufbar unter: http://www.ccc.de/de/updates/2014/0days-an- 
den-bnd. Angeregt wurde die Debatte auch durch die Ankündigung des BND, im Rahmen 
der Strategischen Initiative Technik (SIT) unter dem Codenamen „Nitidezza“ Software- 
schwachstellen mit einem Budget von 300 Millionen Euro einzukaufen. Dazu Spiegel Online 
vom 9.11.2014, BND will Informationen über Software-Sicherheitslücken einkaufen, abruf- 
bar unter http://www.spiegel.de/spiegel/vorab/bnd-will-informationen-ueber-software-sicher 
heitsluecken-einkaufen-a-1001771.html. 
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möglichst klein gehalten wird. Die Sicherheitslücken sollen durch interne Qua- 
litätssicherungsprogramme geschlossen werden. 

Angesichts der Interessenkonstellation und der abweichenden Sicherheitsphi- 
losophien spricht in Anwendung des Zweifelssatzes jedoch viel für einen Lö- 
sungsansatz, der nicht pauschal die zwingende Veröffentlichung von Sicher- 
heitslücken favorisiert, sondern im Wege der beschränkten, verantwortungs- 
bewussten Veröffentlichung (sog. Responsible Disclosure) die Interessen von 
security und secrecy in Einklang bringt. 

Die Grundidee der Responsible Disclosure ist die koordinierte Veröffentli- 
chung von Sicherheitslücken unter Zustimmung der Betroffenen, insbesondere 
also der Hersteller einer Soft- oder Hardware. Der Entdecker einer Sicherheitslü- 
cke kooperiert mit dem Hersteller bei Analyse und Behebung der Schwachstelle. 
Informationen zur Schwachstelle werden Dritten erst dann zugänglich gemacht, 
wenn die Risiken für die Betroffenen hinreichend minimiert werden konnten. 

Zunächst sind die Motive für die Veröffentlichung von Sicherheitslücken zu 
erfassen.!® Zum einen wird das primär technische Ziel sichergestellt, eine IT-Si- 
cherheitslücke überhaupt zu identifizieren und zu schließen. Das Risiko für An- 
wender wie Nutzer wird durch die Behebung von Schwachstellen gesenkt. Die 
Kenntnis von Sicherheitslücken führt ferner dazu, durch die erkannten Fehler zu 
lernen und dadurch die Entwicklung von Erkennungswerkzeugen und -methoden 
voranzutreiben. In der Gesamtrechnung können so auch Zeit und Ressourcen 
gespart werden, die Einzelne für die Entdeckung von Lücken einsetzen. Grund- 
gedanke der Veröffentlichung von Sicherheitslücken ist damit, den Herstellern 
und Anwendern Anreize zu schaffen, Maßnahmen gegen Sicherheitslücken zu 
ergreifen. Zudem wird auf den Markt für Sicherheitsprodukte eingewirkt und das 
Informationsniveau insgesamt gehoben. Der „mündige Anwender“ soll durch das 
geschärfte Sicherheitsbewusstsein eine informierte Entscheidung über die Wahl 
der genutzten Software und Hardware treffen können. 

Bei näherer Betrachtung der multipolaren Interessen- und Grundrechtskons- 
tellation, die dem staatlichen Umgang mit Sicherheitslücken zugrunde liegt, er- 
weist sich dann auch die Forderung einer pauschalen Veröffentlichung als zwei- 
felhaft. Die Lösung des Problems der Veröffentlichung von Sicherheitslücken 
und der Warnung vor ihnen kann nur die Balancierung der konfligierenden 
sicherheitspolitischen Erwägungen sein. Gegen die pauschale Aufdeckung 
spricht, dass die Geheimhaltung von Informationen über Sicherheitslücken den 
Sicherheitsbehörden und Nachrichtendiensten ermöglicht, ihren Ermittlungs- 


163 Siehe exemplarisch den sog. Internet Draft der Internet Engineering Task Force, Res- 
ponsible Vulnerability Disclosure Process, 2002, 1.4, abrufbar unter: http://tools.ietf.org/html/ 
draft-christey-wysopal-vuln-disclosure-00#section-1.4. 
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maßnahmen und Aufklärungsoperationen nachzugehen. Die Sicherheitsbehör- 
den haben ein genuines Interesse daran, die staatlich bekannten Sicherheitslü- 
cken für ihre Aufgaben zu nutzen.!°* Das Geheimhalten von Sicherheitslücken 
hat wiederum klare Dysfunktionen. Alle Klassen von Angriffen auf die Verfüg- 
barkeit, Integrität und Vertraulichkeit von Netzen und Daten, aber auch viele 
Formen der Internetkriminalität, zum Beispiel in der Wirtschaftsspionage, wer- 
den durch nicht gepatchte Sicherheitslücken ermöglicht. Die offenen Stellen be- 
zeichnen immer auch Angriffspunkte für unbefugte und nicht berechtigte Drit- 
te. Dem Einzelnen wird es zudem nicht ermöglicht, sich selbst aktiv zu schützen 
und entsprechende Vorkehrungen zu treffen. Ferner fördert die Nichtveröffent- 
lichung die Aufrechterhaltung eines Schwarzmarktes für Informationen über 
Zero-Days, an dem staatliche Akteure unter Einsatz hoher Beträge an Steuer- 
geldern, aber auch die organisierte Kriminalität beteiligt sind. Außerdem stei- 
gen die Preise durch eine zunehmende Nachfrage auf diesen Märkten. 

Jeweils gewichtige Gründe sprechen sowohl für als auch gegen die (zwingen- 
de) Veröffentlichung von Sicherheitslücken. Sicherheit ist damit eine Frage der 
für vorzugswürdig befundenen Sicherheitsstrategie. Die sicherheitsrechtspoliti- 
schen Erwägungen kann das einfache Recht nur insofern abbilden, als grund- 
rechtlich geschützte Interessen stets sorgfältig zu gewichten, zu bewerten und 
abzuwägen sind. Diesem Gebot wird der Veröffentlichungsmodus der Respon- 
sible Disclosure grundsätzlich gerecht. § 7 Abs. 1 S.3 BSIG erlaubt durch das 
abgestufte Notifizierungsverfahren und die Einbindung von Herstellen die ver- 
antwortungsbewusste Veröffentlichung von Sicherheitslücken.!° Die Verbrei- 
tung von IT-Sicherheitsinformationen kann nach $ 7 Abs. 1 S. 4 BSIG dadurch 
beschränkt werden, dass nicht die Öffentlichkeit allgemein, sondern nur ausge- 
wählte Personen und Institutionen informiert werden. Zugunsten höherer An- 
reize für Hersteller, Sicherheitslücken zügig zu schließen, ließe sich zwar de 
lege ferenda darüber nachdenken, die Entscheidung über eine Warnung nicht in 
das allgemeine („kann“), sondern in das gebundene Ermessen („soll“) der Ver- 
waltung zu legen. Die Entscheidung für eine Warnung würde so die Regel dar- 
stellen; nur bei entgegenstehenden Interessen in besonderen Fällen würde die 
Abwägungspflicht aktiviert. Allerdings wird eine gebundene Entscheidung der 
Anforderung einer Feinjustierung, wie sie in sicherheitskritischen Bereichen er- 
forderlich ist, nicht gerecht. Zeitpunkt, Art und Umfang einer Warnung sind in 
jedem Einzelfall darauf abzustimmen, ob durch die Information über eine Si- 
cherheitslücke das Ausnutzen für Angriffe gefördert wird. Die Vorschrift kann 


164 Vgl. Pohl, DuD 2007, 684 (685). 

165 Vgl. für CERT-Bund, BSI, RFC-2350, 4.2.: CERT-Bund strongly supports responsible 
disclosure principles and therefore cooperates with vendors in order to handle relevant secu- 
rity issues within their products. 
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daher hinsichtlich der Umsetzung des Gedankens der Responsible Disclosure 
als Vorbild für die Ausgestaltung entsprechender Befugnisse in anderen Mit- 
gliedstaaten herangezogen werden. 


5. Empfehlungen von Sicherheitsmaßnahmen und Sicherheitsprodukten 


Das BSI kann zur Gefahrenabwehr konkrete Sicherheitsmaßnahmen sowie den 
Einsatz bestimmter Sicherheitsprodukte empfehlen (a). Bei empfehlendem In- 
formationshandeln stellt sich das Problem besonderer Verstärkungsdynamiken 
(b). Im Zusammenhang mit der Darstellung von Risikoinformationen bietet es 
sich für die Darstellung von Informationen an, auf Erkenntnisse der Verhaltens- 
ökonomie zurückzugreifen (c). 


a) Empfehlung bei Gefahrenverdacht 


Das BSI kann nach § 7 Abs. 2 BSIG Sicherheitsmaßnahmen und den Einsatz 
bestimmter Sicherheitsprodukte empfehlen. Eine unionsrechtliche Vorgabe be- 
steht für diese Kompetenz nicht. 

Ob die Empfehlung an die Öffentlichkeit gerichtet sein darf, ergibt sich nicht 
eindeutig aus dem Wortlaut des $ 7 Abs. 2 BSIG. Der Passus „kann das Bundes- 
amt die Öffentlichkeit“ in $7 Abs.2 S. 1 BSIG bezieht sich grammatikalisch 
nur auf die Warnbefugnis. Bei binnensystematischer Betrachtung kann auch 
nicht im Umkehrschluss aus $ 7 Abs. 1 S. 1 Nr. 2 BSIG, der eine Befugnis für 
nicht an die Öffentlichkeit gerichtete Empfehlungen statuiert, auf die Öffent- 
lichkeit als zulässigen Adressaten geschlossen werden, da der Unterschied der 
beiden Kompetenzen darin begründet liegen kann, dass $ 7 Abs. 2 S. 1 BSIG die 
Befugnis um die mögliche Nennung der Bezeichnung und des Herstellers des 
betroffenen Produkts erweitert. Andererseits ergibt sich aus dem Gesetz auch 
kein ausdrücklicher Ausschluss der Öffentlichkeit. Jedenfalls kommt wegen der 
Bindung an die Aufgabe des BSI zur Beratung und Warnung ein breiter Adres- 
satenkreis für die Empfehlung in Betracht (vgl. $ 3 Abs. 1 S. 2 Nr. 14 BSIG). 

Empfehlungen können als Aussagen verstanden werden, die dem angespro- 
chenen Adressatenkreis bestimmte Verhaltensweisen nahelegen.!° Die Emp- 
fehlung durch staatliche Stellen ist kein Hinweis auf das rechtliche Dürfen oder 
Müssen und zielt auch nicht auf die Beschränkung des ohnehin nicht rechtlich 
determinierbaren freien Willens. Sie ist die staatlicherseits erwünschte Frei- 
heitsausübung. Die Empfehlung impliziert dadurch die Möglichkeit eines im 
Vergleich zu anderen zulässigen Verhaltensweisen vernünftigeren Verhaltens. !’ 


166 Feik, Öffentliche Verwaltungskommunikation, 2007, S. 26. 
167 Gramm, Der Staat 30 (1991), 51 (67). 
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Durch eine Verhaltenempfehlung wird der angesprochenen Person jedoch nicht 
der Handlungsspielraum genommen. 

Die Empfehlung von konkreten Schutzmaßnahmen und Sicherheitsproduk- 
ten zielt primär auf den Rechtsgüterschutz. Daneben kann der Empfehlung eine 
kognitive Dimension beigemessen werden. In kognitiver Hinsicht verfolgt die 
Empfehlungstätigkeit das Ziel, die Sicherheitsvorfälle dadurch zu vermeiden 
oder zu bewältigen, dass die Adressaten durch entsprechende Informationen 
befähigt werden, zu handeln oder Kenntnis über geeignete Abhilfemaßnahmen 
zu erlangen. Die informationsverwaltungsrechtliche Bedeutung der Empfeh- 
lung besteht vor allem darin, dass den Behörden weitere Eingriffsmittel neben 
den Warnhinweisen und der Veröffentlichung von Sicherheitslücken nicht zur 
Verfügung stehen, um proaktiv zur Informationssicherheit beizutragen. Daher 
ist insbesondere die Bereitstellung von Empfehlungen als unverzichtbare 
Grundlage für die Sicherheitsgewährleistung anzusehen.!® Praktisch sehr be- 
deutsam sind daher außerhalb des Gefahrenverdachts die allgemeinen Hinweise 
und Empfehlungen, wie der IT-Grundschutz nach BSI oder die ISi-Reihe.!® 

Trotz Verbleiben des Handlungsspielraums sind an die Empfehlung Anforde- 
rungen zu stellen, die sich aus ihrem Charakter als einer Kombination von Tat- 
sachenfeststellung und Werturteil ergeben." Daher kann eine konkrete Verhal- 
tensempfehlung, die auf eine Gefahrensituation gestützt ist, die Wirkung einer 
Warnung erreichen.'”' Je näher die Empfehlung einer Warnung kommt, d.h., je 


168 Vgl. Stellungnahme des BSI von Andreas Könen zum Expertengespräch der Projekt- 
gruppe Zugang, Struktur und Sicherheit im Netz am 28.11.2011, abrufbar unter http://www. 
bundestag.de/internetenquete/dokumentation/Zugang_Struktur_und_Sicherheit_im_Netz/ 
PGZustrSi_2011-11-28_oeffentliches_Expertengespraech/PGZuStSi_2011-1128_Experten 
gespraech_Stellungnahme_Koenen.pdf; des Weiteren Deutscher Bundestag, Enquete-Kom- 
mission Internet und Digitale Gesellschaft, Teilbericht der Projektgruppe Zugang, Struktur 
und Sicherheit im Netz, A-Drs. 17(24)064, S. 81 f. 

16 BSI-Standards zur Internet-Sicherheit (ISi-Reihe), deren Ziel es ist, „Behörden und 
Unternehmen umfassende Informationen zur Verfügung zu stellen, damit diese ihre Inter- 
net-Aktivitäten möglichst eigenständig sicher neu aufbauen, erweitern oder anpassen kön- 
nen.“ Die ISi-Reihe besteht nach Fachthemen geordneten Modulen, die Varianten für indivi- 
duelle Bedürfnisse berücksichtigen und dem Schutzbedarf angepasst sind. Die Module sind 
nach Adressat gegliedert, wozu IT-Fachleute, IT-Führungskräfte gehören. Enthalten sind 
generische oder produktbezogene Checklisten als Hilfestellung für Administratoren, Pro- 
grammierer und Web-Entwickler. 

10 Heintzen, NuR 1991, 301 (304). 

171 Kloepfer, Staatliche Informationen als Lenkungsmittel, 1998, S. 17; Schürmann, Öf- 
fentlichkeitsarbeit, 1992, S. 105. Die Warnung ist negativ auf das Unterlassen eines bestimm- 
ten Verhaltens gerichtet, während die Empfehlung positiv auf ein bestimmtes Verhalten zielt. 
Die Empfehlung, ein bestimmtes Programm zu verwenden, kann der Warnung entsprechen, 
nicht ohne dieses Programm zu verfahren. 


B. Aktives Informationshandeln 339 


wahrscheinlicher ein Eingriff in die Grundrechte Dritter bewirkt wird, desto 
eher sind an die Empfehlung diejenigen Anforderungen zu stellen, die auch für 
Warnungen gelten.'”” Außerhalb des eingriffsrelevanten Verhaltens ergeben 
sich grundrechtliche Gleichheitsprobleme.'”? Ein Unternehmen darf nicht un- 
sachlich bevorteilt oder benachteiligt werden. Die richtige Tatsachenfeststel- 
lung ist folglich Rechtmäßigkeitsvoraussetzung."”* Die in der Empfehlung lie- 
gende immanente Wertung muss auf einem sachlichen Grund fußen. Die Wer- 
tung darf nicht durch sachfremde Erwägungen geleitet sein oder willkürlich 
erfolgen." Die Anhaltspunkte und Kriterien, auf die sich die Behörde stützt, 
sind gerichtlich vollumfänglich nachprüfbar.'”° Das Gesetz stellt dem Anwen- 
der für den Ausspruch einer Empfehlung im Übrigen weder konkretisierende 
Kriterien zur Seite noch gibt es ein einzuhaltendes Verfahren vor. Das dem Te- 
los des Responsible Disclosure entsprechende Verfahren ist ausdrücklich nicht 
vorgesehen, da $ 7 Abs. 2 auf die Vorabinformation der Hersteller, wie sie $ 7 
Abs. 1 S. 3 BSIG vorsieht, nicht Bezug nimmt. 

Um in der Empfehlung bestimmte Produkte und Hersteller zu benennen, müs- 
sen hinreichende Anhaltspunkte für das Vorliegen einer Gefahr gegeben sein. 
Zwar sprechen beide Tatbestandsvarianten, $ 7 Abs. 1 S. 1 Nr. 2 bzw. $ 7 Abs. 2 
S. 1 BSIG, von Empfehlungen zu Sicherheitsmaßnahmen und zum Einsatz be- 
stimmter Sicherheitsprodukte. Die Formulierung „hinreichende Anhaltspunkte“ 
in § 7 Abs. 2 S. 1 BSIG legt aber nahe, dass eine konkrete Empfehlung bestimm- 
ter Sicherheitsmaßnahmen bzw. konkret bezeichneter Sicherheitsprodukte einen 
Gefahrenverdacht voraussetzt.” Ein Gefahrenverdacht liegt vor, wenn zwar 
Anhaltspunkte für eine Gefahr ersichtlich sind, der Behörde aber bewusst ist, 
dass die erkennbare Sachlage mit Unsicherheiten behaftet ist und eine sichere 
Prognose des Schadenseintritts nicht zulässt.!”® Die vorliegenden Anhaltspunk- 
te und Tatsachen müssen noch keine Gefahr begründen, aber zu dem starken 
Verdacht führen, dass sich die Sachlage zu einer Gefahr verdichten könnte.!”? 


12 Feik, Öffentliche Verwaltungskommunikation, 2007, S. 26. 

13 Vgl. Gusy, NIW 2000, 977 (986). 

174 Hält man die an die Öffentlichkeit gerichtete Empfehlung für zulässig, findet $ 7 Abs. 2 
S.2 BSIG Anwendung. Fehlinformationen sind danach zu korrigieren, wenn die Vorausset- 
zungen ex post nicht vorliegen. 

175 Feik, Öffentliche Verwaltungskommunikation, 2007, S. 26. 

176 Buchberger, in: Schenke/Graulich/Ruthig (Hrsg.), Sicherheitsrecht des Bundes, 2014, 
BSIG, $ 7 Rn. 6. 

177 Vgl. Buchberger, in: Schenke/Graulich/Ruthig (Hrsg.), Sicherheitsrecht des Bundes, 
2014, BSIG, $ 7 Rn. 6. 

18 Kugelmann, Polizei- und Ordnungsrecht, 2. Aufl. 2012, Rn. 125; Schoch, Polizei- und 
Ordnungsrecht, in: ders. (Hrsg.), Besonderes Verwaltungsrecht, 15. Aufl. 2013, Kap. 2, Rn. 95 f. 

19 Kugelmann, Polizei- und Ordnungsrecht, 2. Aufl. 2012, Rn. 125. 


340 $5 Distribution von Informationen über die Netz- und Informationssicherheit 


Der Modus der Empfehlung ist nicht vorgegeben. Diese kann verbal oder 
durch schriftliche Publikation erfolgen. Möglich erscheinen jedoch auch opti- 
sche Zeichen wie Gütesiegel oder Symbole. Auch darin kann der staatliche 
Wunsch eines bestimmten Konsumverhaltens deutlich erkennbar sein. 


b) Problem eigendynamischer Verstärkungseffekte 


Ein besonderes Problem bei Produktempfehlungen und Warnungen sind die 
möglicherweise damit verbundenen eigendynamischen Verstärkungseffekte. 
Stellt staatliches Informationshandeln einmal die Regel dar, kann möglicher- 
weise dem Unterlassen ein Informationswert unterstellt werden (‚es wird schon 
alles in Ordnung sein“!?°). Das Informationshandeln muss berücksichtigen, dass 
staatliche Tätigkeit eine Erwartungshaltung aufbauen kann, die ein Gefühl der 
Sicherheit nach sich zieht und die enttäuscht werden kann. Zugleich besteht die 
Gefahr, dass das Informationsverhalten eine Dynamik annimmt, in der die 
zunächst zurückhaltende (negative) Informationspolitik sich zu einer Politik 
mit Positivanreizen verstärkt.'”' Aus Warnungen in Ausnahmefällen vor IT- 
Schwachstellen werden zunehmend Empfehlungen konkreter Produkte. Mit an- 
deren Worten, es besteht die Gefahr, dass an die Stelle aufklärenden Informa- 
tionshandelns ein edukatorisches Staatshandeln tritt.'?? Insgesamt zeigt sich an 
der Befugnis des $ 7 BSIG, wie nah das Aufklärungshandeln an der Wirtschafts- 
politik ist und daneben Funktionen des Verbraucherinformationsrechts über- 
nimmt, denn Letzteres soll die „Auswahl- und Entscheidungskompetenz von 
Verbrauchern in der Marktwirtschaft“ verbessern.'?® Doch die ihrerseits mit 
Unwägbarkeiten verbundene Verhaltensbeeinflussung, die durch eine mit staat- 
licher Autorität ausgesprochene Warnung und Empfehlung bewirkt wird, kann 
mit unvermeidbaren nachteiligen Spill-over-Effekten verbunden sein.'?* Aus 


180 Gusy, Die Informationsbeziehungen zwischen Staat und Bürger, in: Hoffmann-Riem 
et al. (Hrsg.), Grundlagen des Verwaltungsrechts, Band II, 2. Aufl. 2012, § 23, Rn. 16 mit 
Verweis auf BVerfGE 105, 252 (269), 279 (302). 

181 Augsberg, Informationsverwaltungsrecht, 2014, S. 206. 

182 Dazu Lüdemann, Edukatorisches Staatshandeln, 2004. 

183 Schoch, NIW 2010, 2241 (2242). 

184 Augsberg, Informationsverwaltungsrecht, 2014, S. 207, der auch auf die Kritik zu der 
im Kern im EU-Verbraucherrecht verankerten Zielvorstellung einer Markttransparenz ver- 
weist, die vorgebracht wird bei Rehberg, Der staatliche Umgang mit Information — Das euro- 
päische Informationsmodell im Lichte von Behavioral Economics, in: Eger/Schäfer (Hrsg.), 
Ökonomische Analyse der europäischen Zivilrechtsentwicklung, 2007, S. 284 ff. Ferner als 
Beispiel VG Köln, Beschluss v. 11.03.1999 — 20 L 3737/98, CR 1999, 557 (558): Der Firmen- 
name der Ast. war in einer Äußerung des Bundesdatenschutzbeauftragten nicht benannt. Die 
grundrechtsbeeinträchtigende Wirkung sah das Gericht aber durch die anschließende na- 
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der Möglichkeit solcher unerwarteter grundrechtsrelevanter Nebeneffekte folgt 
das Gebot einer behutsamen Anwendung der Empfehlungskompetenz. 


c) Besondere Anforderungen an die Informationsdarstellung 


Bei Publikumsinformationen in Form von Empfehlungen ist es außerdem nahe- 
liegend, verhaltenswissenschaftliche Erkenntnisse in die rechtliche Betrachtung 
mit einzubeziehen.'”° Die Steuerungswirkungen des Rechts auf menschliches 
Verhalten zu betrachten, ist Ansatz der verhaltensökonomisch geprägten Diszi- 
plin Behavioral Law and Economics. Für das Informationshandeln ist dabei vor 
allem vor dem Hintergrund, dass dieses eine bestimmte Risikoperzeption der 
Öffentlichkeit bewirkt, bedeutsam, dass in Erweiterung des neuklassischen Rati- 
onalitätsmodells auch kognitive Verzerrungen in die Betrachtung mit einbezogen 
werden. Zentral ist dabei die Erkenntnis, dass entgegen den Annahmen von 
Theorien rationaler Entscheidung (rational choice), nach denen Menschen unter 
Berücksichtigung der optimalen Menge an Informationen sowie anderer Inputs 
ihren Nutzen maximieren und in diesem Sinne rational handeln, den handelnden 
Akteuren eine fehlerfreie Informationsverarbeitung gerade nicht gelingt.'? 
Empfehlungen können bei den Adressaten vor allem dann zu risikobehafteten 
Entscheidungen führen, wenn ihnen die möglichen Nebenwirkungen und Folgen 
einer Entscheidung, die sich auf eine bestimmte Information aus der Empfehlung 
stützt, nicht von vorneherein bekannt sind. Gerade dem einzelnen (privaten) Ver- 
braucher kann es widerfahren, dass er sich zur Befriedigung seiner Präferenzen 
und zum Schutz persönlicher Güter (etwa der Sicherheit der eigenen, sozial rele- 
vanten und sensiblen Daten) auf den Vorsorgegedanken einlässt und überflüssi- 
ge, Risiken missachtende Entscheidungen trifft (etwa ein vermeintlich sichereres 
IT-Produkt implementiert). Die durch negative Folgen entstehende Verunsiche- 
rung kann sich langfristig nachteilig für die Vertrauen in Anspruch nehmende 
staatliche Informationstätigkeit auswirken.'*® Es stellt sich daher die Frage, wel- 


mentliche Nennung in den Medien gegeben, die nicht bloß allgemein und als Reflex gegeben 
wäre. 

185 Zur Verwendbarkeit verhaltenswissenschaftlicher Erkenntnisse im Recht Engel, Beha- 
vioral Law and Economics — eine kritische Einführung, in: ders./Englerth/Lüdemann/ 
Spiecker gen. Döhmann (Hrsg.), Recht und Verhalten — Beiträge zu Behavioral Law and 
Economics, 2007, S. 363 (383); allgemein Sunstein (Hrsg.), Behavioral Law and Economics, 
2000, passim. 

186 Jolls/Sunstein/Thaler, Stanford Law Review 50 (1998), 1471 (1476 ff.). 

187 Englerth, Behavioral Law and Economics — eine kritische Einführung, in: Engel/ders./ 
Lüdemann/Spiecker gen. Döhmann (Hrsg.), Recht und Verhalten — Beiträge zu Behavioral 
Law and Economics, 2007, S. 60 (102). 

188 Zu den Internet-Milieus zu Vertrauen und Sicherheit im Netzt siehe Deutsches Institut 
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che Beschaffenheit Informationen aufweisen müssen, damit einem Vertrauens- 
verlust der Öffentlichkeit prophylaktisch begegnet werden kann. 

Die Problemstellung lässt näher am fiktiven Beispiel einer digitalen Pande- 
mie darstellen. Im Falle einer europäischen digitalen Pandemie mit Computer- 
vieren, -würmern oder anderer Schadsoftware könnte eine NIS-Behörde eine 
Warnung verbunden mit der Empfehlung einer Abhilfemaßnahme aussprechen. 

Um Nutzen und Risiken einer mehr oder weniger komplexen Abhilfemaßnah- 
me abwägen zu können, benötigen die Adressaten Zusatzinformationen über die 
Implikationen der Maßnahme (z. B. über die mit dem Einsatz einer bestimmten 
Sicherheitsmaßnahme verbundenen Risiken). Vor dem Hintergrund verhaltens- 
wissenschaftlicher Erkenntnisse kann angezweifelt werden, dass das bloße Be- 
reitstellen solcher Informationen ausreicht. Vielmehr muss eine bestimmte Dar- 
stellung der Information erfolgen, um fehlerhafte Wahrnehmungs- und Verarbei- 
tungsvorgänge zu vermeiden („Comprehension is as essential as disclosure“).!® 

Als Schutzmechanismus gegen normativ unerwünschte Folgen von Risikoin- 
formationen kommt ein rechtliches Informationsdarstellungsgebot in Be- 
tracht.” Gesetzliche Minimalanforderungen bestimmter Darstellungsformen 
sind dem Recht nicht unbekannt. Im Zivilrecht bestehen bereits vielfach Dar- 
stellungsregelungen. Das Lauterkeitsrecht beispielsweise sorgt dafür, dass der 
Unternehmer im Rahmen des Möglichen und Zumutbaren alle Informationen 
preisgibt, „die der durchschnittliche Verbraucher je nach den Umständen benö- 
tigt, um eine informierte geschäftliche Entscheidung zu treffen“ (Art. 7 Abs. 1 
UGP-RLI?').'?? Darin kann die Berücksichtigung der Erkenntnis gesehen wer- 
den, dass bestimmte Darstellungen von Preisen zur Folge haben können, dass 
Verbraucher den Preis eines Produktes als unter dessen tatsächlichem Wert lie- 
gend einschätzen und so zu einer irregeleiteten Kaufentscheidung gelangen.'” 
Im Datenschutzrecht wird das Gebot, eine für die Öffentlichkeit bestimmte In- 


für Vertrauen und Sicherheit im Internet (DIVSI), DIVSI Milieu-Studie zu Verstreuen und 
Sicherheit im Internet, 2012, S. 15 ff. 

189 Pflug, Pandemievorsorge, 2013, S. 223. 

190 Im Zusammenhang von Impfempfehlungen Spiecker gen. Döhmann/Kurzenhäuser, 
Das rechtliche Darstellungsgebot - Zum Umgang mit Risikoinformationen am Beispiel der 
Datenerhebung im Bundesinfektionssschutzgesetz (IfSG), in: Engel/Englerth/Lüdemann/ 
Spiecker gen. Döhmann (Hrsg.), Recht und Verhalten — Beiträge zu Behavioral Law and 
Economics, 2007, S. 133 (133 ff., 143). 

191 Richtlinie 2005/29/EG über unlautere Geschäftspraktiken. 

192 Köhler, in: ders./Bornkamm, UWG, 34. Aufl. 2016, $ 1 Rn. 18. 

193 Spiecker gen. Döhmann/Kurzenhäuser, Das rechtliche Darstellungsgebot - Zum Um- 
gang mit Risikoinformationen am Beispiel der Datenerhebung im Bundesinfektionssschutz- 
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formation „präzise, leicht zugänglich und verständlich sowie in klarer und ein- 
facher Sprache“ abzufassen, aus dem Grundsatz der Transparenz abgeleitet." 

Wie im Zivilrecht spielen auch im staatlichen Informationshandeln die Auto- 
nomie und die Freiwilligkeit der anschließenden Entscheidung eine tragende 
Rolle. Die Gefahr von irrationalen Entscheidungen ist im Kontext der Informa- 
tionstätigkeit zum Thema Internetsicherheit nicht weniger ausgeprägt. 

Eine normative Vorgabe zur Darstellung von Publikumsinformationen ent- 
hält § 7 BSIG indes nicht. Die konkrete Ausgestaltung einer spezifischen Dar- 
stellung stellt den Gesetzgeber ob der Vielzahl zu berücksichtigender Erkennt- 
nisse über die Rezeption von Informationen und wegen des Wandels in der ver- 
haltenswissenschaftlichen Forschung vor rechtstechnische Schwierigkeiten.!” 
Aus dem Grundsatz der Rechtmäßigkeit des Verwaltungshandelns ergibt sich 
gleichwohl das Richtigkeitsziel der Risikoangemessenheit eines Informations- 
handelns. Zumindest in der Rechtsanwendung sollte daher eine Offenheit für 
die Einbeziehung von als gesichert geltenden verhaltenswissenschaftlichen Er- 
kenntnissen bestehen.!?® 

Dazu gehören bei Risikoinformationen die Verfügbarkeitsheuristik, die 
Wahrscheinlichkeitsvernachlässigung, die Verlust-Aversion und die Kaskaden- 
effekte. 

Heuristiken prägen das Entscheidungsverhalten des Einzelnen und stellen ko- 
gnitive Simplifizierungsstrategien dar. Auf sie greifen Menschen insbesondere 
dann zurück, wenn sie über Risiken nachdenken.'?” In der individuellen Infor- 
mationsverarbeitung kann es dazu kommen, dass auf geringe Risiken unverhält- 
nismäßig reagiert wird, weil Risiken kognitiv verfügbar sind. Dies ist vor allem 
dann der Fall, wenn Informationen zeitlich kurz zurückliegen oder noch beson- 
ders präsent sind (etwa durch Medienberichte). Entscheidungen auf Grundlage 
rezipierter Informationen werden nach einer gewissen Verfügbarkeitsheuristik 
getroffen.'”® Aktuell verfügbaren Informationen wird demnach gegenüber der 
sog. statistischen Base Rate überproportionales Gewicht eingeräumt. Zur Ver- 
meidung von Fehlreaktionen bei den Adressaten einer Empfehlung oder War- 
nung sollte daher, wenn möglich, die Risikowahrscheinlichkeit indiziert werden. 


194 Erwägungsgrund 58 DS-GVO. 

195 Vgl. für die Informationsdarstellung im Kontext des IfSG Spiecker gen. Döhmann/ 
Kurzenhäuser, Das rechtliche Darstellungsgebot — Zum Umgang mit Risikoinformationen 
am Beispiel der Datenerhebung im Bundesinfektionssschutzgesetz (IfSG), in: Engel/Englerth/ 
Lüdemann/Spiecker gen. Döhmann (Hrsg.), Recht und Verhalten — Beiträge zu Behavioral 
Law and Economics, 2007, S. 133 (145, 147). 
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Eine weitere zu berücksichtigende Verhaltensweise ist die Wahrscheinlich- 
keitsvernachlässigung. Menschen neigen dazu, stark emotional aufgeladene Ri- 
siken für wahrscheinlicher zu halten als solche, denen sie ohne oder mit nur 
geringem emotionalem Engagement gegenüberstehen, und zwar auch dann, 
wenn die Wahrscheinlichkeit ihrer Realisierung objektiv größer ist als subjektiv 
angenommen.'” Daraus folgt zunächst, dass staatliches Informationshandeln 
das spezifische Verhältnis von Kognition und Emotion in Konstellationen von 
Risikobewertungen durch Einzelne reflektieren und sich der Risiken des Infor- 
mationshandelns bewusst machen sollte. 

Mit der Rational-Choice-Annahme im Konflikt stehen darüber hinaus Risi- 
koentscheidungsverhaltensweisen, nach denen Menschen Gütern und Rechten 
einen höheren Wert beimessen, je länger sie diese besitzen. Diese Erscheinung 
wird als Besitz-Effekt (endowment effect) charakterisiert.?°° Der Gedanke der 
Verlustaversion (loss aversion) versucht in diesem Zusammenhang zu erklären, 
dass Menschen einen Verlust schwerer gewichten als Gewinne in derselben Hö- 
he.?°! Individuelle Entscheidungen konzentrieren sich demnach primär auf den 
Erhalt des Status quo statt auf eine potenzielle Verbesserung. Empfehlungen 
und Warnungen können wirksamer sein, wenn in der Kommunikation einer In- 
formation dieser Effekt Berücksichtigung findet. 

Durch Informationshandeln können nicht zuletzt nur schwer absehbare Kas- 
kadeneffekte entstehen. Gemeint sind soziale Kaskaden, deren typisches Merk- 
mal es ist, dass beteiligte Personen genau dasjenige Signal verstärken, durch das 
sie selbst beeinflusst worden sind. Risikoentscheidungen erfordern ökonomisch 
betrachtet kostenintensive Recherchen. Menschen neigen daher dazu, auf ein- 
fach verfügbare Informationen (etwa in Form scheinbar repräsentativer Anek- 
doten) zurückzugreifen. In sozialen Kontexten entstehen so Informationskaska- 
den, durch die persönlich präferierte Informationen weitererzählt werden, die 
objektiv falsch sein können. Je nach Vertrauensverhältnis können Zuhörer der 
Erzählung schnell von der Plausibilität, ein ernsthaftes Risiko liege vor, über- 
zeugt sein. Im äußersten Fall einer solchen sozialen Konstruktion können so 
Ängste hinsichtlich von Gefahren geschürt werden, die realiter so nicht exis- 
tieren.?” 


19 Vgl. Slovic/FischhofflLichtenstein, Facts and Fears: Understanding Perceived Risk, in: 
Schwing/Albers Jr. (Hrsg.), Societal risk assessment: How safe is safe enough?, 1980, 
S. 181 ff.; Loewenstein/Weber/Hsee/Welch, Psychological Bulletin 127 (2001), 267 (269). 
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Lüdemann/Spiecker gen. Döhmann (Hrsg.), Recht und Verhalten — Beiträge zu Behavioral 
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Zusammenfassend muss das Informationsverwaltungsrecht als informiertes 
Recht an der Schaffung von Vertrauen interessiert sein und berücksichtigen, 
dass staatliche Interventionen unter Umständen sogar „Möglichkeiten und An- 
reize für Individuen beseitigen, ihr eigenes Wissen über die Bewältigung von 
Vertrauensrisiken zu erweitern.“?® Konkret folgt daraus neben dem Gebot 
maßvoller Informationstätigkeit, dass in Empfehlungen die Wahrscheinlichkei- 
ten von Risiken verfügbarer gemacht und ggf. geringe Risikowahrscheinlich- 
keiten besonders in der Darstellung der Information betont werden. Die Dar- 
stellung der Risiken für persönliche Güter kann tendenziell dysfunktionalen 
Informationskaskaden entgegenwirken. Dies setzt bereits Maßnahmen gegen 
die verwaltungsinterne Risikoverzerrung voraus. Eine Erweiterung des Darstel- 
lungsgebots auf die Risikowahrscheinlichkeit wirkt insofern präventiv auf die 
Amtsträger ein und beugt der Weitergabe überzogener Risikowahrnehmung 
vor. In europäischer Perspektive drängt sich der Gedanke der Harmonisierung 
eines IT-sicherheitsbezogenen Informationshandelns auf. Gerade im Fall einer 
länderübergreifenden „digitalen Pandemie“ erscheint eine Zentralisierung in 
tatsächlicher Hinsicht sinnvoll, da föderale oder mitgliedstaatliche Divergenzen 
in der Bewertung bestimmter Risiken Ungewissheit verstärken und zu einer 
weiteren Verunsicherung führen. Die Herstellung eines institutionalisierten 
Einklangs der Informationstätigkeit unter der Nutzung der ENISA und der 
europäischen Kooperationsstrukturen erscheint vor diesem Hintergrund an- 
gezeigt. 


II. Individualbezogene Informationstätigkeit 


Das individualbezogene Informationshandeln richtet sich an einen bestimmten 
oder bestimmbaren Adressatenkreis. Eine Warnung vor Gefahren auf dem 
Gebiet der Internetsicherheit kann etwa den von einem Sicherheitsvorfall be- 
troffenen Personenkreis adressieren. Formalisierte individualbezogene Infor- 
mationsverfahren bestehen für Betreiber kritischer Infrastrukturen (1.) und für 
datenschutzrechtlich Verantwortliche sowie für Betroffene von Datenschutz- 
verletzungen (2.). Für die gezielte Informationstätigkeit von Bedeutung sind 
nicht zuletzt informelle Zusammenschlüsse (3.). 


1. Betreiber kritischer Infrastrukturen 


Die Betreiber kritischer Infrastrukturen werden vom BSI mit bestimmten si- 
cherheitsrelevanten Informationen versorgt. Gemäß § 8b Abs.2 Nr. 4 in Ver- 
bindung mit Nr. 1 bis 3 BSIG unterrichtet das BSI die Betreiber über sie betref- 
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fende Informationen. Dies sind nach $ 8b Abs. 2 Nr. 4 BSIG die wesentlichen 
Informationen für die Abwehr von Gefahren für die Sicherheit der Informa- 
tionstechnik, insbesondere Informationen zu Sicherheitslücken, Schadprogram- 
men, Angriffe und dabei beobachtete Vorgehensweisen, Analyseergebnisse 
über potenzielle Auswirkungen auf die Verfügbarkeit der Infrastruktur und das 
Lagebild bezüglich der Sicherheit. Übermittelt werden die Informationen ge- 
mäß $ 8b Abs. 3 S. 3 BSIG nicht direkt an die Betreiber kritischer Infrastruktu- 
ren, sondern an die von ihnen nach S. 1 für die Kommunikation zu benennende 
Kontaktstelle. Klarstellend verweist $ 8b Abs. 5 BSIG auf die Möglichkeit, für 
Betreiber des gleichen Sektors ergänzend zu den Kontaktstellen eine gemeinsa- 
me Ansprechstelle zu benennen. Damit können bestehende und genutzte Kom- 
munikationsstrukturen genutzt und erweitert werden. Entscheidend ist, dass der 
Übermittlungsprozess nachvollziehbar und auditierbar ist.” 

Die Unterrichtungsverpflichtung bezieht sich demnach nicht auf sämtliche 
gesammelte und analysierte Informationen. Die Informationen müssen einen 
konkreten Bezug zur Informationstechnik eines Infrastrukturbetreibers auf- 
weisen. Das BSI hat damit nur solche Informationen zu geben, welche für die 
Betreiber so relevant sind, dass sie für die Abwehr von Gefahren für die Infor- 
mationssicherheit erforderlich sind. Bei der Unterrichtung sind die schutzwür- 
digen Interessen anderer (betroffener) Betreiber sowie die potenziellen Folgen 
einer Weitergabe zu berücksichtigen. Greift die Weitergabe von Informationen 
in die geschützten Interessen anderer meldender Betreiber ein, ist nur dann zu 
unterrichten, wenn dies verhältnismäßig ist. Gleichwohl sind die Informationen 
zeitnah („unverzüglich“) weiterzugeben. 

In dieser Pflicht zur Information der Infrastrukturbetreiber ist die eigentliche 
Legitimation für IT-Meldepflichten zu sehen. Die durch die Meldepflichten er- 
möglichte staatliche Informationsgenerierung ist damit nicht Selbstzweck der 
NIS-Verwaltung. Die Informationspflicht der NIS-Behörde ist das Spiegelbild 
zur Meldepflicht der Betreiber. Auf der Grundlage der Informationspflicht wer- 
den die gemeldeten Informationen über die Kontaktstelle im Sinne des $ 8b 
Abs. 3 BSIG zurückgespeist. Dabei sind die Informationen an die Betreiber be- 
reits ausgewertet und nehmen Bezug auf das Lagebild in der Informations- 
sicherheit. Im Gegenzug zur Meldepflicht erhalten die Betreiber im Zweifel ein 
Mehrfaches an Information und Expertise zurück. 

Die verpflichtende Unterrichtung der Betreiber ist unionsrechtlich nicht vor- 
gesehen. Die Logik eines Informationstausches im Sinne eines „Gebens und 
Nehmens“ zwischen der NIS-Verwaltung und den Unternehmen ist indes in 
Art. 14 Abs.5 UAbs.2 NIS-RL angelegt. Die NIS-Behörde oder das CSIRT 
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stellt demnach, wenn es unter den Umständen möglich ist, einem Betreiber, der 
einen Sicherheitsvorfall meldet, relevante Informationen für die wirksame Be- 
wältigung des Sicherheitsvorfalls zur Verfügung. 

Das BSIG schafft über die unionsrechtliche Vorgabe hinaus ein allgemeines 
Beratungs- und Informationsrecht gegenüber dem BSI. Die Betreiber können 
das BSI nach $ 3 Abs. 3 BSIG ersuchen, damit dieses bei der Sicherung der In- 
formationstechnik berät und unterstützt. Ob das BSI dem Ersuchen entspricht, 
steht im Ermessen der Behörde. Es darf dabei jedoch auf qualifizierte Sicher- 
heitsdienstleister verweisen. Eine besondere Unterstützung kann in diesem Zu- 
sammenhang darstellen, dass das BSI gemäß $ 8b Abs. 6 BSIG im Falle von 
Störungen der informationstechnischen Systeme kritischer Infrastrukturen die 
Mitwirkung des Herstellers der Systeme bei der Störungsbeseitigung verlangen 
kann. Über den Verweis in $ 8b Abs. 6 S. 2 BSIG auf § 8c Abs. 3 BSIG gilt die- 
se Anordnungsbefugnis auch für Störungen bei Telekommunikationsnetzbetrei- 
bern und -diensteanabietern. 

Gleichwohl sind die Telekommunikationsunternehmen nicht in den unmittel- 
baren Informationsaustausch mit einbezogen. Durch § 8c Abs. 3 BSIG gelten 
die Verpflichtungen zur Einrichtung einer Kontaktstelle und zur Unterrichtung 
durch das BSI gerade nicht für Betreiber kritischer Infrastrukturen, soweit sie 
ein öffentliches Telekommunikationsnetz betreiben oder öffentlich zugängliche 
Telekommunikationsdienste erbringen. Eine rechtliche Notwendigkeit für die 
Ausnahme dieser Infrastrukturen aus dem System der individualbezogenen In- 
formationsmaßnahmen ist mit Blick auf den Mehrwert nicht ersichtlich. Mög- 
lich erscheint aber die indirekte Information über die Bundesnetzagentur, da 
diese nach § 8b Abs. 2 Nr. 4 b) BSIG vom BSI unverzüglich über die zur Er- 
füllung ihrer Aufgaben erforderlichen Informationen unterrichtet. Die unmittel- 
bare Information der Betreiber und Anbieter ist zwar nicht wie für das BSI ge- 
setzlich vorgesehen. Das steht der informellen individualbezogenen Weitergabe 
rechtlich nicht geschützter Informationen aber nicht entgegen. 


2. Information in informellen Zusammenschlüssen 


Die NIS-Behörde kann sich zur Bereitstellung von Erkenntnissen abseits der 
gesetzlich formalisierten Informationswege informeller Kooperationsstruktu- 
ren bedienen. Der Informationsaustausch im Rahmen öffentlich-privater Part- 
nerschaften ist sowohl auf europäischer als auch auf nationaler Ebene insbeson- 
dere mit Blick auf die Sicherheit in kritischen Infrastrukturen von Bedeutung.” 


205 Die Bedeutung wird in Erwägungsgrund 35 der NIS-RL betont. Siehe auch Wiater, 
Sicherheitspolitik zwischen Staat und Markt, 2013, S. 90ff.; Könen, DuD 2016, 12 (12 ff); 
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Art. 7 Abs. 1 lit. b NIS-RL schreibt vor, dass die nationalen Strategien für die 
Sicherheit von Netz- und Informationssystemen den Aspekt der Zusammenar- 
beit zwischen dem öffentlichen und dem privaten Sektor behandeln sollen. Die 
Cyber-Sicherheitsstrategie für Deutschland von 2016 erfüllt diese Vorgabe und 
führt hierzu aus, dass der verfolgte kooperative Ansatz auch den gegenseitigen 
Informationsaustausch umfasse. Die Bundesregierung „wird hierfür eine Ko- 
operationsplattform für Staat und Wirtschaft institutionalisieren, die innerhalb 
der vorgegebenen rechtlichen Grenzen vor allem einen Austausch relevanter 
Lageinformationen zur Abwehr von Cyber-Angriffen ermöglicht.“ 

Solche mehr oder weniger informellen Zusammenschlüsse sind zwar recht- 
lich unverbindlich, müssen aber keineswegs wirkungslos sein. Als wichtige 
Plattform kann die sog. Allianz für Cybersicherheit angeführt werden. Dabei 
handelt es sich um eine Initiative des BSI in Zusammenarbeit mit Bundesver- 
bänden aus der Informations- und Telekommunikationswirtschaft. Der Zusam- 
menschluss des BSI mit Unternehmen soll eine eigene Wissensbasis aufbauen 
und den gegenseitigen Informations- und Erfahrungsaustausch unterstützen.” 
Die Mitglieder der Allianz sind in die Gruppen Teilnehmer, Institutionen im 
besonderen staatlichen Interesse (INSI), Partner und Multiplikatoren einge- 
teilt.” Der Zugriff auf die Informationen ist nur Vertretern mit Teilnehmersta- 
tus gestattet. Die INSI erhalten darüber hinaus Zugriff zu einem geschützten 
Bereich. Das BSI stellt hier ihr wachsendes Repertoire an Informationen zur 
Sicherheitslage im Cyberraum zur Verfügung. Bereitgestellt werden nicht nur 
Lageberichte mit Statistiken, sondern auch Warnmeldungen und Schwachstelle- 
ninformationen. In diesem informellen Zusammenschluss kann das BSI seinen 
Beratungsauftrag wahrnehmen oder Empfehlungen auf Grundlage von § 7 
Abs. 1 S. 1 Nr. 2 und Abs. 2 BSIG aussprechen. 

Im Übrigen kann als „Generalklausel“ der individualisierten Informationstä- 
tigkeit § 3 Abs. 1 S. 2 Nr. 2 BSIG angesehen werden. Das BSI stellt gesammelte 
und ausgewertete Informationen Dritten, soweit dies zur Wahrung ihrer Sicher- 
heitsinteressen erforderlich ist, zur Verfügung. Dritte sind Adressaten außer- 
halb der Verwaltung, neben den Betreibern kritischer Infrastrukturen auch Un- 
ternehmen und sonstige Einrichtungen, die anerkanntermaßen zum Bereich der 
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kritischen Infrastrukturen im weiteren Sinne gehören oder sonst ein berechtig- 
tes Sicherheitsinteresse an den entsprechenden Informationen geltend machen 
können.” 


3. Datenschutzrechtlich Verantwortliche und Betroffene einer Verletzung 
a) Betroffene einer Datenschutzverletzung 


Stellt ein Angriff auf die Sicherheit eines Netz- und Informationssystems zu- 
gleich eine Verletzung der datenschutzrechtlichen Pflichten zur Datensicherheit 
dar, kommt die Information derjenigen in Betracht, deren personenbezogene 
Daten betroffen sind. Nach $ 38 Abs. 1 S.6 BDSG kann die Datenschutzauf- 
sichtsbehörde im Falle eines festgestellten Verstoßes gegen das Datenschutz- 
recht die Betroffenen informieren. Entgegen dem Wortlaut, der die Unterrich- 
tung in das Ermessen der Behörde stellt, wird mit Blick auf die entsprechende 
unionsrechtliche Vorgabe eine allgemeine Benachrichtigungspflicht angenom- 
men.” Nach Art. 28 Abs. 4 UAbs. 1 S. 2 RL 95/46/EG „ [ist] die betroffene Per- 
son [...] darüber zu informieren, wie mit der Eingabe verfahren wurde.“ Diese 
Formulierung legt nahe, dass die Aufsichtsbehörde regelmäßig nur auf eine Ini- 
tiative des Betroffenen hin, die gemäß Art. 28 Abs. 4 UAbs. 1 S. 1 RL 95/46/EG 
möglich ist, verpflichtet ist. Vor diesem Hintergrund erscheint eine differenzier- 
te Betrachtung sinnvoll. Gegen eine allgemeine Informationspflicht der Auf- 
sichtsbehörde spricht die fehlende Praktikabilität. Ein einziger Datenschutzver- 
stoß kann eine Vielzahl von Personen betreffen. Eine Unterrichtung jedes ein- 
zelnen Betroffenen kann zu einem unverhältnismäßigen Aufwand führen und 
zeitliche wie finanzielle Ressourcen binden. Die Intention des Unionsgesetzge- 
bers kann vielmehr so verstanden werden, dass eine Unterrichtungspflicht nur 
bei einem gesteigerten Interesse des Betroffenen besteht. Dies dürfte neben dem 
Fall, dass der Betroffene die Aufklärung des Vorfalls selbst durch einen Hin- 
weis oder eine Anzeige angeregt hat, insbesondere bei erheblichen Nachteilen, 
die durch die Unkenntnis des Datenschutzverstoßes drohen, gegeben sein.?!! 
Ein bestehender Kontakt der Behörde zum Betroffenen darf in solchen Fällen 
für die Begründung der Informationspflicht nicht erforderlich sein.?!? 

Die Unterrichtung betrifft inhaltlich den festgestellten Verstoß gegen daten- 
schutzrechtliche Bestimmungen. Der Rechtsprechung zufolge müssen Einzel- 
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heiten über das geprüfte Verfahren nicht mitgeteilt werden.?'? Der Wortlaut legt 
zumindest nahe, dass der Betroffene vorrangig über die Tatsache eines Versto- 
Bes informiert werden soll („so ist sie befugt, [...] hierüber zu unterrichten“). So 
kann dieser von seinem Strafantragsrecht nach $44 Abs.2 BDSG Gebrauch 
machen. Die Vorschrift schließt dagegen auch nicht aus, dass die Behörde de- 
tailliert über einen Verstoß informiert, damit etwaige Schutzmaßnahmen ge- 
troffen werden können. 

Die Vorschrift im BDSG geht weiter als der korrespondierende Art. 58 Abs. 2 
lit. e DS-GVO. Unionsrechtlich ist die Unterrichtung der Betroffenen durch die 
Aufsichtsbehörde nicht vorgesehen. Die Behörden dürfen den Verantwortlichen 
lediglich anweisen, die betroffenen Personen zu benachrichtigen. Die behördli- 
che Information wäre allenfalls im Wege der Ersatzvornahme denkbar. Den 
Mitgliedstaaten ist allerdings nach Art. 58 Abs. 6 DS-GVO das Recht gewährt, 
ihren Aufsichtsbehörden weitere als die aufgeführten Befugnisse zu übertragen, 
sodass $ 38 Abs. 1 S. 6 BDSG inhaltlich weiterhin Bestand haben kann. 


b) Individuelle Beratung in Fragen der Datensicherheit 


Zu den Aufgaben der Datenschutzaufsichtsbehörden gehört die Beratung von 
Verantwortlichen, Auftragsdatenverarbeitern und Datenschutzbeauftragten. 
Zwar fällt die datenschutzrechtliche Beratung nach Art.39 Abs. 1 lit.a DS- 
GVO grundsätzlich den jeweiligen Datenschutzbeauftragten zu. Darüber hin- 
aus ist es insbesondere nach Art. 57 Abs. 1 lit. d DS-GVO die Pflicht („muss“) 
der Aufsichtsbehörde, die Verantwortlichen und Auftragsverarbeiter „für die 
ihnen aus dieser Verordnung entstehenden Pflichten [zu] sensibilisieren“. Die 
Sensibilisierung setzt hier keinen Antrag voraus, sondern bezeichnet eine offen- 
sive allgemeine Aufklärung und Beratung.” Mit Bezug auf die Datensicherheit 
muss die Beratung insbesondere darauf zielen, dass Datenschutz nicht nur eine 
grundrechtssensitive Datenverarbeitung erfordert, sondern auch das Ergreifen 
der entsprechenden technisch-organisatorischen Maßnahmen. 

Vor allem wegen der Unentgeltlichkeit der behördlichen Aufgabenerfüllung 
(Art. 57 Abs. 3 DS-GVO) ist es fernliegend, dass die Datenschutzbehörden zu 
einer umfassenden Compliance-Beratung personell oder sachlich in der Lage 
sind. Ein wirksamer Grundrechtsschutz setzt zwar eine effektive Aufgaben- 
wahrnehmung voraus. Die Behörde muss aber in ihrem Ermessen über eine 
zweckmäßige Verteilung der zur Verfügung stehenden Ressourcen entscheiden 


213 Ohne nähere Begründung VG Bremen, RDV 2010, 129 (131). 

214 Roßnagel, Zusätzlicher Arbeitsaufwand für die Aufsichtsbehörden der Länder durch 
die Datenschutz-Grundverordnung, 2017, S. 87 mit weitergehenden Ausführungen zu Bera- 
tungspflichten, die im Schwerpunkt Fragen außerhalb der Datensicherheit betreffen. 
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können. Bei einer praxisnahen Betrachtung kommt insofern nur punktuell in 
herausgehobenen Fällen eine Sensibilisierung oder Beratung in Betracht. 


C. Reaktives Informationshandeln 


Über die reaktiven Informationspflichten können Private von sich aus am staat- 
lichen Wissen partizipieren. Die dafür erforderliche Öffnung der Verwaltung ist 
verfassungsrechtlich angelegt (I.). Die Gatekeeper-Funktion der Verwaltung 
wird bei den meisten NIS-Behörden durch einen Informationszugangsanspruch 
reduziert (II). Der Anspruch ist aber nicht schrankenlos und steht im Span- 
nungsverhältnis zum Geheimhaltungsbedürfnis. Für das Informationszugangs- 
recht bestehen neben den allgemeinen Ausnahmen besondere Begrenzungen 
für den Zugang zu Informationen mit Bezug zu kritischen Infrastrukturen (IIl.). 
Hinsichtlich der zugänglich gemachten Informationen besteht keine besondere 
Aufbereitungs- oder Beschaffungspflicht, die Informationen sind aber grund- 
sätzlich maschinenlesbar für die weitere, freie Weiterverwendung bereitzustel- 
len (IV). 


I. Grundrecht auf Informationszugang 


Bei der Informationszugangsfreiheit geht es um den Zugang des Bürgers zu den 
Informationen bei den Verwaltungen der Länder oder des Bundes.” Die zu- 
grunde liegenden Streitigkeiten und Argumentationen kreisen hier um rechts- 
staatliche und demokratietheoretische Überlegungen.?'° Mit einem erweiterten 
Verständnis von Informationsverwaltungsrecht kann die Informationsdistribu- 
tion durch den Staat im Sinne der hier verfolgten These erklärt werden als „die 
verwaltungsrechtliche Reaktion auf die gestiegene soziale Relevanz des Wis- 
sens einerseits und die Dezentralisierung der gesellschaftlichen Wissensbestän- 
de, die neue Koordinations- und Kooperationsanstrengungen erforderlich 
macht“. Dieses Verständnis berücksichtigt das gewandelte Rollenverständnis 
des Staates, zu dessen Aufgaben es gehört, „unter den veränderten kognitiven 
Bedingungen“ eine „adäquate Ausgestaltung der informationellen Beziehungen 
zwischen Staat und Bürgern“ herzustellen.?'? 


215 Vgl. Schoch, IFG, 2009, Einleitung, Rn. 1 ff. 

216 Masing, Transparente Verwaltung, in: VVDStRL 63 (2004), S. 377 ff. 
217 Augsberg, Informationsverwaltungsrecht, 2014, S. 196. 

218 Augsberg, Informationsverwaltungsrecht, 2014, S. 196 f. 
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Der Gedanke der Informationsfreiheit findet sich im Unionsrecht als Grund- 
recht wieder (1.). Ein verfassungsunmittelbares subjektives Recht auf Informa- 
tionszugangsfreiheit lässt sich aus dem Grundrecht nicht ableiten (2.). 


1. Grundsatz der Offenheit und Recht auf Zugang zu Dokumenten 
im Unionsrecht 


Der Grundsatz der Offenheit gehört zu den allgemeinen Bestimmungen im 
AEUV. Das Transparenzprinzip wird in Art. 15 Abs. 3 AEUV konkretisiert,?' 
der die „weitgehende Beachtung“ dieses Grundsatzes von den Organen, Ein- 
richtungen und sonstigen Stellen der Union fordert. Ziel ist es, eine verantwor- 
tungsvolle Verwaltung zu fördern und die Beteiligung der Zivilgesellschaft si- 
cherzustellen. Einen individuellen Anspruch auf den Zugang zu Dokumenten 
begründet Art. 15 Abs. 3 AEUV. Dem Wortlaut nach ist der Anspruch frei und 
voraussetzungslos.”?° Die Norm hat allerdings keine Wirkung, die self execu- 
ting wäre. Einschränkungen für die Ausübung des Rechts ergeben sich aus einer 
Verordnung, die gemäß Art. 15 Abs. 3 UAbs.2 AEUV nach dem ordentlichen 
Gesetzgebungsverfahren festgelegt werden. Nach dieser Bestimmung ist die 
konkrete Ausgestaltung dem Gesetzgeber, dem Europäischen Parlament und 
dem Rat aufgegeben. Die Anwendung der Zugangsfreiheit ist demnach von der 
sekundärrechtlichen Ausgestaltung abhängig.” 

Der Zugang zu Dokumenten ist neben dem primärrechtlichen Anspruch als 
unionsrechtliches Grundrecht in Art. 42 GRCh verankert. Über die Grundrechts- 
anerkennung in Art.6 Abs. 1 EUV wird die GRCh als unmittelbar geltendes, 
gleichrangiges Unionsrecht inkorporiert. Dieses Grundrecht statuiert trotz der 
systematischen Stellung bei den Bürgerrechten**? nicht nur ein Recht für Unions- 
bürgerinnen und Unionsbürger, sondern für jede natürliche oder juristische Per- 
son mit Wohnsitz oder satzungsmäßigem Sitz in einem Mitgliedstaat. Jedem Be- 
rechtigten ist damit ein Recht auf Zugang zu Dokumenten der Organe, Einrich- 
tungen und sonstigen Stellen der Union eingeräumt. Eine Rechtsentwicklung in 
Richtung Informationszugangsfreiheit deutet sich auch in der Rechtsprechung 
zur EMRK an. Der EGMR lest Art. 10 EMRK mittlerweile deutlich extensiver 
aus. Hat die Rechtsprechung des Gerichts die Informationsfreiheit ursprünglich 
in der Presse- und Medienfreiheit eingeordnet, ist sie nunmehr auf den Zugang zu 


219 Wegener, in: Calliess/Ruffert (Hrsg.), EUV/AEUV, 4. Aufl. 2011, AEUV, Art. 15 Rn. 11. 

220 Wegener, in: Calliess/Ruffert (Hrsg.), EUV/AEUV, 4. Aufl. 2011, AEUV, Art. 15 Rn. 11. 

221 Sobotta, Transparenz in den Rechtsetzungsverfahren der Europäischen Union, 2001, 
S. 344; Krajewski/Rösslein, in: Grabitz/Hilf/Nettesheim (Hrsg.), AEUV/EUV, 57. Aufl. 2015, 
AEUV, Art. 15 Rn. 37. 

222 Überschrift des Titel V der Charta der Grundrechte der Europäischen Union. 
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Datenbanken, in denen amtliche Dokumente gespeichert sind, erweitert.’ Über 
Art. 6 Abs. 3 EUV sind die Grundrechte, wie sie in der EMRK gewährleistet sind 
und wie sie sich aus den gemeinsamen Verfassungsüberlieferungen der Mitglied- 
staaten ergeben, als allgemeine Grundsätze Teil des Unionsrechts. 


2. Verankerung der Informationsfreiheit im Grundgesetz 


Aus dem Grundgesetz lässt sich ein verfassungsunmittelbares subjektives Recht 
auf Informationszugang, wie es auf Bundesebene das Informationsfreiheitsge- 
setz (IFG) gewährt, dagegen nicht ableiten. Das in Art. 20 Abs. 2 GG veranker- 
te Demokratieprinzip stärkt indes das nationale, einfachgesetzliche Informa- 
tionszugangsrecht.?”* Der Genese und dem Telos nach ist die demokratische 
Teilhabe ein Zielwert des Demokratieprinzips, der grundsätzlich bei dem Ein- 
zelnen eine ausreichende Informationsgrundlage und folglich auch den Zugang 
zu Informationen voraussetzt. Die Basis für die zivile Teilhabe wird allerdings 
im deutschen Verfassungsgefüge traditionell über die Kommunikationsgrund- 
rechte sowie die Presse- und Rundfunkfreiheit geschaffen. Das Verständnis ei- 
nes Rechts auf Information aus amtlichen Quellen skandinavischer und anglo- 
amerikanischer Prägung bricht sich mit Art. 42 GRCh im Anwendungsraum des 
EU-Rechts aber Bahn.””° 

Auch das Rechtsstaatsprinzip aus Art. 20 Abs. 3 GG lässt sich, wenn auch nur 
als verstärkendes Argument und nicht als genuine Rechtsgrundlage, für einen 
Anspruch heranziehen. Für den Bereich der Exekutive ist die Parteiöffentlich- 
keit ($ 29 VwVfG) Bestandteil des fairen rechtsstaatlichen Verfahrens.” Ein- 
sichtsansprüche in Vorgänge und Akten außerhalb eines Verwaltungsverfah- 
rens setzen zwar ein zusätzliches berechtigtes Interesse, etwa an der eigenen 
Rechtsverfolgung, voraus, können jedoch im Einzelfall einen Anspruch auf 
fehlerfreie Ermessensausübung verleihen.’ 

In Art. 5 Abs. 1 S. 1 GG ist dem Wortlaut nach kein grundrechtlicher Infor- 
mationszugang verankert. Gleichwohl erstarken in der Literatur die Argumente 
für ein Grundrecht auf Informationszugangsfreiheit.””” Das Bundesverfas- 


23 EGMR, Az. 3953407 39534/07, Rn. 47; Dix, Der verfassungs- und europarechtliche 
Rahmen des Rechts auf Informationszugang, in: Dreier/Fischer/van Raay/Spiecker gen. Döh- 
mann (Hrsg.), 2016, S. 77 (85 f.). 

224 Dazu Rossi, Informationszugangsfreiheit und Verfassungsrecht, 2004. 

225 Wirtz/Brink, NVwZ 2015, 1166 (1168). 

226 Kallerhoff, in: Stelkens/Bonk/Sachs (Hrsg.), VwVfG, 8. Aufl. 2014, § 29 Rn. 1. 

227 VGH München, NVwZ 1999, 889 (890). 

228 Pernice, Verfassungs- und europarechtliche Aspekte der Transparenz staatlichen Han- 
delns, in: Dix/Franßen/Kloepfer/Schaar/Schoch/Deutsche Gesellschaft für Informations- 
freiheit e.V. (Hrsg.), Informationsfreiheit und Informationsrecht Jahrbuch 2013, 2014, S. 17 
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sungsgericht und das Bundesverwaltungsgericht sind in ihrer Rechtsprechung 
bislang restriktiv und verneinen einen verfassungsunmittelbaren Informations- 
zugangsanspruch.””” Die vom IFG vermittelten Zugangsansprüche seien nicht 
grundrechtlich fundiert. Sie setzten vielmehr eine rechtspolitische Entschei- 
dung des Gesetzgebers um.” Allerdings hat das Bundesverwaltungsgericht 
einen unmittelbar verfassungsrechtlich verankerten Mindeststandard für ein 
Informationszugangsrecht der Presse anerkannt.?”! Vor allem die historische 
Auslegung von Art. 5 Abs. 1 S. 1 GG ergibt, dass der Bezug der Garantie der 
Informationsfreiheit auf „allgemein zugängliche Quellen“ nicht die amtlichen 
Quellen umfasst.” Die ursprüngliche Funktion des Grundrechts sei es, dass die 
staatlichen Stellen die Einzelnen nicht daran hindern dürfen, sich aus von Priva- 
ten aufgebauten und unterhaltenen Informationsquellen zu unterrichten.” Der 
Staat könne daher im Rahmen seiner Aufgaben und Befugnisse Art und Um- 
fang des Zugangs zu Informationsquellen selbst festlegen.?* 


II. Zugang zu Informationen bei den NIS-Stellen 


Mangels praxistauglicher Verankerung der Informationsfreiheit im Verfas- 
sungsrecht kommt für die weitere Untersuchung der sekundärrechtlichen bzw. 
einfachgesetzlichen Ausgestaltung des Informationszugangs gesteigerte Be- 
deutung zu. Die verfassungsrechtlichen Vorgaben können indes als Mindest- 
standards und Ausgestaltungsaufträge verstanden werden.” Sie können als 
Kriterien für die regelmäßig notwendige Abwägung mit anderen und gegenläu- 
figen verfassungsrechtlich geschützten Interessen und Belangen heranzuziehen 
sein. Zum anderen besteht in Fällen, in denen bereits für eine Informationsquel- 
le aus dem staatlichen Verantwortungsbereich Regeln hinsichtlich der öffentli- 
chen Zugänglichkeit vorhanden sind, ein Recht auf Informationszugang, wenn 
dieser nicht in hinreichender Weise eröffnet ist.” 


(27 ff); Wirtz/Brink, NVwZ 2015, 1166 (1167 ff.); ablehnend und mit eigenem Formulierungs- 
vorschlag für ein neues Grundrecht Kloepfer/Schärdel, JZ 2009, 453 (459). 

229 BVerfGE 27, 71 (82); BVerfG, NVwZ 1986, 462 (462); BVerwG, NJW 2014, 1126 (1127). 

230 BVerwG, NVwZ 2016, 1820 (1820). 

31 BVerwG, NVwZ 2013, 1006 (1006). 

232 BVerfGE 103, 44 (60 f.). 

23 Wirtz/Brink, NVwZ 2015, 1166 (1168). 

234 BVerwG, NJW 2014, 1126 (1127). Auf Ebene der Länder gibt es einige Ansätze zur 
verfassungsrechtlichen Regelung der Informationsbeziehungen zwischen Staat und den Bür- 
gern, vgl. Art. 21 Abs. 4 BbgVerf oder Art. 53 SchlH Verf. 

235 Gusy, JZ 2014, 171 (171). 

236 BVerfG, NJW 2008, 977 (978); Schwemmer, in: Hillgruber/Epping (Hrsg.), BeckOK 
GG, 27. Ed. 2015, Art. 5 Rn. 32. 
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Für die weitere Frage des Zugangs zu Informationen zu NIS-Stellen ist zu 
bestimmen, ob und auf welcher Grundlage Informationszugang zu den europä- 
ischen (1.) und nationalen NIS-Stellen erlangt werden kann (2.). 


1. Zugang bei europäischen NIS-Stellen 


Bei der Anwendung der NIS-Richtlinie gilt grundsätzlich die Transparenz-Ver- 
ordnung, der in ihr gewährte Informationszugang umfasst aber nur einen Teil- 
bereich der Eigenverwaltung der Union (a). Die ENISA verfügt über eigene Zu- 
gangsregelungen, die auf die Transparenzverordnung verweisen (b). 


a) Reichweite der Transparenz-Verordnung und Verhältnis zur NIS-Richtlinie 


Die Grundsätze und Bedingungen des primärrechtlichen Rechts auf Zugang zu 
Dokumenten sind gemäß Art. 15 Abs.3 UAbs. 1 AEUV nach UAbs. 2 AEUV 
festzulegen. Art. 15 Abs. 3 UAbs. 2 AEUV erteilt dem Unionsgesetzgeber den 
Auftrag, die allgemeinen Grundsätze und die aufgrund öffentlicher und privater 
Interessen geltenden Einschränkungen für die Ausübung des Rechts auf Zugang 
zu Dokumenten durch eine Verordnung im ordentlichen Gesetzgebungsverfah- 
ren festzulegen. 

Seit 2001 existiert für die Europäische Union mit der VO (EG) Nr. 1049/2001 
(Transparenz-Verordnung) eine „Informationsfreiheitsverordnung‘“, die spiegel- 
bildlich dem Regelungsanliegen des IFG entspricht.?”” Auch wenn die betroffe- 
nen Garantien des Primärrechts und der Charta erst zeitlich nach der Transpa- 
renz-VO geschaffen wurden, kann die Verordnung als Konkretisierung der 
Grundrechtsbestimmungen angesehen werden.”°® 

Die Transparenz-Verordnung stellt keine allgemeine unionsweite Regelung 
für den Informationszugang dar. Die Zugangsverpflichtung ist auf das Europä- 
ische Parlament, den Rat und die Kommission beschränkt (Art. 1 lit. a VO (EG) 
Nr. 1049/2001). Der Anwendungsbereich der Transparenz-Verordnung wird 
vielfach durch Verweise in den Gründungsakten und Zugangsregelungen in Ge- 
schäftsordnungen von Unionseinrichtungen ausgedehnt. Für die Mitgliedstaa- 
ten hat die Transparenz-Verordnung indes keine direkten Auswirkungen.” 

Da sowohl Art. 15 Abs. 3 AEUV als auch Art. 42 GRCh nur die Informations- 
freiheit bezüglich des Zugangs zu Informationen bei den Stellen der Union ge- 
währleisten, kann die Union den Mitgliedstaaten nur insoweit Vorgaben ma- 
chen, als dies der Grundsatz der begrenzten Einzelermächtigung (Art. 5 Abs. 1 


37 Bretthauer, DÖV 2013, 677 (677). 

38 Dix, Der verfassungs- und europarechtliche Rahmen des Rechts auf Informationszu- 
gang, in: Dreier/Fischer/van Raay/Spiecker gen. Döhmann (Hrsg.), 2016, S. 77 (85). 

239 Erwägungsgrund 15 VO (EG) Nr. 1049/2001. 
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S. 1, Abs. 2 EUV) erlaubt. Regelungen der Informationsfreiheit mit Wirkungen 
in den Mitgliedstaaten können daher nur bereichsspezifisch erfolgen.” Um- 
setzungen in den Mitgliedstaaten waren beispielsweise erforderlich zur Umset- 
zung der Umweltinformations-Richtlinie 2003/4/EG oder der INSPIRE-Richtli- 
nie 2007/2/EG, die den Mitgliedstaaten die Entscheidung darüber, ob Geodaten 
zugänglich zu machen sind, abnimmt. Die Informationsfreiheit richtet sich im 
Übrigen nach den mitgliedstaatlichen Regelungen. ”*' 

Damit ist zwischen dem Zugang zu Informationen bei NIS-Stellen der Union 
und den nationalen NIS-Stellen zu unterscheiden. 

Fraglich ist, wie sich die NIS-Richtlinie zur Transparenz-Verordnung verhält, 
da beide gleichrangiges Sekundärrecht darstellen. Regelungsziel der aufgrund 
von Art.288 Abs.2 AEUV unmittelbar geltenden Verordnung ist es, durch 
Transparenz eine bessere Beteiligung der Bürger am Entscheidungsprozess und 
eine größere Legitimität, Effizienz und Verantwortung der Verwaltung gegen- 
über dem Bürger in einem demokratischen System zu gewährleisten.” Dem 
Recht auf Zugang der Öffentlichkeit zu Dokumenten soll die Verordnung 
„größtmögliche Wirksamkeit“ verschaffen (Art. 1 lit. a VO (EG) Nr. 1049/2001). 
Ob dieses Anspruchs der größtmöglichen Wirksamkeit stellt sich das Problem 
des Verhältnisses der NIS-Richtlinie zur Transparenz-Verordnung. Die Bezie- 
hung der Verordnung zu anderen sekundärrechtlichen Normen ist noch nicht 
geklärt. Es stellt sich die Frage, ob das Dokumentenzugangsrecht in der Trans- 
parenz-Verordnung Gegenstand einer allgemeinen Vorschrift ist, die in einigen 
Gebieten durch bestimmte besondere Vorschriften aus anderen Unionsregelun- 
gen zu ergänzen ist, oder ob die Ausübung des Rechts in der Transparenz-VO 
für alle Fälle abschließend geregelt ist.”* Als Spezifikationshinweis findet sich 
in der NIS-RL nur die Erwägung, dass die Verordnung gelten „sollte“.”** Ein 
Primat der Transparenz ergibt sich dadurch noch nicht, zumal eine parallele 
Anwendbarkeit der DS-GVO gegeben ist. Der Europäische Gerichtshof geht, 
wohl auch weil die Anwendung der Lex-posterior- bzw. Lex-specialis-Regel 
fehlerhaft wäre,”® von einer parallelen Anwendbarkeit von Transparenz-VO 
und anderem Sekundärrecht aus.”*s 


240 Debus, in: BeckOK IMR, 14. Ed. 2016, IFG, $ 1 Rn. 10. 

41 Die Richtlinie 2003/98/EG über die Weiterverwendung von Informationen des öffent- 
lichen Sektors begründet keine Verpflichtung der Mitgliedstaaten, den Informationszugang 
zu gewähren, Erwägungsgründe 9 und 16 der RL 2003/98/EG, Erwägungsgrund 8 der Ände- 
rungsrichtlinie 2013/37/EU. Siehe dazu auch § 5 C. IV. 2. 

242 Erwägungsgrund 2 VO (EG) Nr. 1049/2001. 

28 Dazu GA Villalón, Rs. C-365/12, Rn. 37. 

244 Erwägungsgrund 39 NIS-RL. 

245 Koppensteiner, EuR 2014, 594 (598 f.). 

246 EuGH, C-28/08, Rn. 65; vgl. aber GA Sharpston, C-28/08, Rn. 104. 
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Der (unverbindliche) Verweis in den Erwägungsgründen zur NIS-RL lässt 
jedenfalls nicht von vornherein auf einen Normenkonflikt schließen, sodass Ab- 
wägungsfragen einer Einzelfallbetrachtung vorbehalten sind. Zugleich ergibt 
sich dadurch auch für bestimmte Kategorien von Dokumenten keine allgemeine 
Vermutung der Nichtöffentlichkeit.?*” 

Die NIS-Richtlinie schließt somit den Zugang zu Dokumenten über die Netz- 
und Informationssicherheit beim Europäischen Parlament, dem Rat und der 
Kommission nicht aus. Zum grundsätzlichen Informationszugang zu den sonsti- 
gen NIS-Stellen wie der NIS-Kooperationsgruppe oder dem CSIRTs-Netzwerk, 
die in der europäischen Zusammenarbeit ein zentrale Rolle spielen, verhält sich 
die NIS-Richtlinie indes nicht. Insofern kommt für das CSIRTs-Netzwerk in 
Betracht, dass es anderen Unionseinrichtungen gleichtut und in seiner Ge- 
schäftsordnung, die es sich nach Art. 12 Abs. 5 NIS-RL gibt, eine Zugangsrege- 
lung aufnimmt, die mit den Bestimmungen der Transparenz-Verordnung und 
der Vertraulichkeit in Einklang steht.” Im Übrigen gilt der Gesetzgebungsauf- 
trag des Art. 15 Abs.3 AEUV, die Modalitäten des Zugangsrechts sekundär- 
rechtlich auszugestalten. Eine allgemeine Neufassung der Regelungen sollte der 
Erweiterung des Kreises der Verpflichteten in Art. 15 Abs. 3 UAbs. 1 AEUV 
berücksichtigen und den Anspruch primärrechtskonform auf sämtliche Organe, 
Einrichtungen und sonstigen Stellen der Union erweitern.?® 


b) Zugang zu Informationen am Beispiel der ENISA 


Für den Zugang zu Informationen bei der ENISA ist mit Art. 18 der Verordnung 
(EU) Nr. 526/2013 eine Regelung vorhanden, die in Abs. 1 zum einen die Trans- 
parenz-VO für anwendbar erklärt und in Abs. 2 bestimmt, dass der Verwal- 
tungsrat eine Durchführungsmaßnahme festlegt. Die Entscheidung der ENISA 
Nr. MB/2013/14 soll das Zugangsrecht für die Agentur durchführen. 

Am Beispiel der ENISA lässt sich untersuchen, zu welchen Informationen 
Zugang bestehen kann. Maßgeblich für die Reichweite des Anspruchs ist die 
Auslegung des Begriffs „Dokument“. 

Der Gegenstand des Zugangsanspruchs sind Dokumente. Aus den Art. 4, 5 
und 9 der VO (EG) Nr. 1049/2001 lassen sich begriffliche Unterscheidungen 
entnehmen. Es gibt Dokumente Dritter, Dokumente der Mitgliedstaaten, sen- 


247 Vgl. dazu EuGH, Rs. C-139/07 P, Rn. 62. 

248 Zu dieser Praxis Krajewski/Rösslein, in: Grabitz/Hilf/Nettesheim (Hrsg.), AEUV/ 
EUV, 57. Aufl. 2015, AEUV, Art. 15 Rn. 42. 

249 Zur Unübersichtlichkeit der Regelungen und der daraus resultierenden Erschwerung, 
das Recht auf Informationszugang wahrzunehmen, Gellermann, in: Streinz (Hrsg.), EUV/ 
AEUV, 2. Aufl. 2012, AEUV, Art. 15 Rn. 9. 
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sible Dokumente und Dokumente im Besitz von Mitgliedstaaten. Bezüglich der 
Begriffsbestimmung in Art.3 a) Transparenz-VO sind unter „Dokument“ In- 
halte zu verstehen, die einen Sachverhalt mit den Politiken, Maßnahmen oder 
Entscheidungen aus dem Zuständigkeitsbereich des Organs betreffen. Die Form 
des Dokuments ist nicht von Belang. Der Begriff bezieht sich auf Inhalte unab- 
hängig davon, ob sie auf Papier, in elektronischer Form oder als Ton-, Bild- oder 
audiovisuelles Material vorliegen. Umfasst sind daher auch Inhalte aus 
E-Mails.” Im Lichte von Art. 42 GRCh und Art. 2 Abs. 2 Transparenz-VO ist 
eine weite Auslegung des Begriffs außerdem geboten.”°' Auf den Inhalt des 
Dokuments kommt es für die Bemessung des Schutzbereichs nicht an.” Gegen 
ein enges Verständnis spricht, dass der Schutz der behördlichen Prozesse allein 
über die Schrankenbestimmungen erreicht wird.” Von dem Anspruch erfasst 
sind Dokumente, die von einer Stelle der EU verfasst worden oder einer EU-Stel- 
le zugegangen sind. Die von Dritten, etwa von einem Mitgliedstaat oder einer 
Privatperson erstellten Dokumente sind also ebenfalls grundsätzlich erfasst. 
Der Informationszugangsanspruch ist aber kein allgemeiner Auskunftsan- 
spruch.”°* Der Zugang zu Dokumenten gilt nur für vorhandene Dokumente, so- 
dass ihre Beschaffung nicht verlangt werden kann. 

Der Kreis der Anspruchsberechtigten entspricht in Art.2 Abs. 1 Transpa- 
renz-Verordnung denen des Art. 15 Abs. 3 UAbs. 1 AEUV und Art. 42 GRCh. 
Art.2 Abs. 1 Transparenz-VO wiederholt den Kreis, erweitert ihn aber um na- 
türliche und juristische Personen, die keinen Sitz in einem Mitgliedstaat haben. 

Der Anspruch auf Zugang zu Dokumenten bei europäischen NIS-Stellen ist 
demnach weiter, als der Wortlaut „Dokument“ vermuten lässt. Durch die weite 
Auslegung des Begriffs und die Unabhängigkeit vom Inhalt sind NIS-Informa- 
tionen vom Anspruch auf Informationszugang grundsätzlich erfasst. 


2. Zugang bei nationalen NIS-Stellen 


Auf nationaler Ebene fallen das BSI (a) und die Bundesnetzagentur (b) als Bun- 
desbehörden in den Anwendungsbereich des IFG. Nachrichtendienste und sons- 
tigen Stellen des Bundes mit einer vergleichbaren Sicherheitsempfindlichkeit 
sind von dem Anwendungsbereich des IFG ausgenommen (c). 


250 Gellermann, in: Streinz (Hrsg.), EUV/AEUV, 2. Aufl. 2012, AEUV, Art. 15 Rn. 12. 

>! Jarass, Charta der Grundrechte der EU, 2. Aufl. 2013, Art. 42 Rn. 6; Magiera, in: 
Meyer (Hrsg.), Charta der Grundrechte der Europäischen Union, 4. Aufl. 2014, Art. 42 Rn. 9. 

252 Jarass, Charta der Grundrechte der EU, 2. Aufl. 2013, Art. 42 Rn. 7. 

253 Wegener, in: Calliess/Ruffert (Hrsg.), EUV/AEUV, 4. Aufl. 2011, AEUV, Art. 15 
Rn. 17; Schoo, in: Schwarze/Becker/Hatje/ders. (Hrsg.), EU-Kommentar, 3. Aufl. 2012, EUV, 
Art. 255 Rn. 9. 

254 Jarass, Charta der Grundrechte der EU, 2. Aufl. 2013, Art. 42 Rn. 8. 
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a) Bundesamt für Sicherheit in der Informationstechnik 


Der Anwendungsbereich des IFG ergibt sich in sachlicher und persönlicher 
Hinsicht aus der Grundnorm, $ 1 IFG. Jeder hat nach Maßgabe des IFG gegen- 
über den Anspruchsverpflichteten einen Anspruch auf Zugang zu amtlichen 
Informationen. Der Informationsanspruch besteht gegenüber den Behörden des 
Bundes. Das BSI ist gemäß $ 1 Abs. 1 S. 1 BSIG eine Bundesoberbehörde und 
erfüllt den Behördenbegriff des Zugangsanspruchs. 

Der Anspruch ist auf den Zugang zu den der informationspflichtigen Stelle 
tatsächlich vorliegenden amtlichen Informationen gerichtet. Amtliche Informa- 
tionen sind nach $ 2 Nr. 1 IFG alle amtlichen Zwecken dienende Aufzeichnun- 
gen, unabhängig von der Art ihrer Speicherung. Entwürfe und Notizen, die 
nicht Bestandteil eines Vorgangs werden sollen, gehören nicht dazu. Die Amt- 
lichkeit der Information setzt nicht voraus, dass der Bund Urheber der Informa- 
tion ist. Der Zweck der Information, nicht ihre Herkunft ist entscheidend. Sie 
müssen in Erfüllung einer öffentlichen Tätigkeit angefallen sein. Bei behördli- 
chen gespeicherten Daten ist das auch dann der Fall, wenn sie zuvor von Priva- 
ten erhoben wurden.?® 

Die Vorschrift setzt weder das Bestehen eines Informationsinteresses voraus, 
noch steht dem Anspruch ein bestimmtes Informationsinteresse entgegen.” 
Ein Informationszugangsanspruch kann also auch bei einem Interesse an si- 
cherheitsbezogenen Informationen bestehen. Der Antrag auf Informationszu- 
gang muss jedoch erkennen lassen, zu welchen amtlichen Informationen Zu- 
gang begehrt wird. Wegen der fehlenden Kenntnis der Antragsteller von den 
vorliegenden Informationen dürfen jedoch keine unangemessen hohen Anfor- 
derungen gestellt werden. Grundsätzlich unzulässig sind jedoch Informations- 
anfragen „ins Blaue hinein“. 7 


b) Bundesnetzagentur 


Die Bundesnetzagentur fällt als Bundesoberbehörde (vgl. $ 116 Abs. 1 S.2 
TKG) wie das BSI in den Anwendungsbereich des IFG. Grundsätzlich umfasst 
der Anspruch auch gegen die Bundesnetzagentur alle Informationen, über wel- 
che die Behörde unabhängig von ihrer Speicherung verfügt.” 


255 Augsberg, DVBl. 2007, 733 (739). 

256 Debus, in: Gersdorf/Paal (Hrsg.), BeckOK IMR, 11. Ed. 2016, IFG, $ 1 Rn. 33. 

257 Vgl. zum Umweltinformationsgesetz VGH Kassel, NVwZ 2007, 348 (350): „Hier hätte 
es der Darlegung bedurft, welche Umweltinformationen die Antragstellerin in bei der An- 
tragsgegnerin vorhandenen Unterlagen vermutet [...]“. 

258 Siehe auch Attendorn/Geppert, in: Geppert/Schütz (Hrsg.), BeckTKG, 4. Aufl. 2013, 
§ 136 Rn. 7. 
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c) Kein Zugang zu Informationen bei Nachrichtendiensten 


Bei den Nachrichtendiensten mit NIS-Bezug besteht dem Grunde nach Infor- 
mationszugang gemäß $$ 1 Abs. 1 und 3, 2 Nr. 1 IFG. Ausgeschlossen werden 
jedoch durch $ 3 Nr. 8 IFG Ansprüche auf Informationszugang gegenüber den 
Nachrichtendiensten und sonstigen Stellen des Bundes mit einer vergleichbaren 
Sicherheitsempfindlichkeit, die sich daraus ergibt, dass die Stellen Aufgaben im 
Sinne des Sicherheitsüberprüfungsgesetzes wahrnehmen. 

Die gesetzlich angeordnete Bereichsausnahme, die eine Einzelprüfung eines 
Antrags nicht vorsieht, gilt auch für die Gewährung des Informationszugangs 
durch andere Stellen, bei denen die betreffenden Informationen vorliegen und 
soweit diese die Geheimhaltung reklamieren.” Der Gesetzgeber hatte $ 3 Nr. 8 
IFG als zusätzlichen Ausschlussgrund aufgenommen, weil er das Gesetz nicht 
für umfassend genug hielt. Es sollten vielmehr alle Vorgänge und Tätigkeiten in 
den Nachrichtendiensten erfasst sein.?°° Demnach sind auch alle übermittelten 
Informationen bei anderen Behörden erfasst.?°! 

Ein Informationszugang zu Informationen, die der Bundesnachrichtendienst 
im Rahmen der strategischen Fernmeldeaufklärung zur Aufklärung von Cyber- 
gefahren generiert, scheidet somit von vorneherein aus. Die Bereichsausnahme 
ist umfassend und betrifft nicht etwa nur personenbezogene Daten. Ein An- 
spruch auf Zugang zu sicherheitsbezogenen Sachinformationen besteht daher 
nicht. Jegliche Informationsdistribution seitens des Bundesnachrichtendienstes 
ist letztlich aber nicht ausgeschlossen. Das IFG formt nicht die informations- 
rechtliche Stellung der Presse aus und reflektiert nicht ihre besonderen Funkti- 
onsbedürfnisse. Solange der Bundesgesetzgeber seinen Gestaltungsauftrag aus 
dem objektiv-rechtlichen Gewährleistungsgehalt des Art. 5 Abs. 1 S.2 GG er- 
füllt, kommt ein unmittelbarer spezifisch presserechtlicher Auskunftsanspruch 
aus dem Grundrecht in Betracht. 


IH. Informationsinteresse und Geheimhaltungsbedürfnis 


Kaum ein Recht wird schrankenlos gewährleistet. Das Informationsinteresse 
hat seinen Antipoden im Geheimhaltungsinteresse.?° Das Zugangsrecht schafft 


259 OVG Berlin-Brandenburg, BeckRS 2014, 58830, sub I. 1, hinsichtlich des gegenüber 
dem Bundeskanzleramt geltend gemachten Anspruchs; bestätigt durch BVerwG, Urteil vom 
25.02.2016, Az. 7 C 18.14. 

260 Vgl. BT-Drs. 14/4493, S. 12. 

261 Noch nicht per se ausgeschlossen sind damit Anfragen etwa nach dem PresseG oder 
ArchivG. 

262 BVerwG, NJW 2013, 1006 (1009). 

263 Vgl. für das Lebensmittelrecht Möstl, Informationsinteresse und Geheimhaltungsbe- 
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daher weiterhin geschützte Bereiche für Staatsgeheimnisse, Geschäfts- und Be- 
triebsgeheimnisse, berufliche Schweigepflichten, vertragliche Verschwiegen- 
heitspflichten und sonstige grundrechtlich geschützte Interessen. Die Informati- 
onszugangsfreiheit macht die Verwaltung also nur transparent, aber noch nicht 
gläsern.?°* Die Trennung der Verwaltung in „Vorder- und Hinterbühne“, d.h. die 
Beschränkung zum Schutz öffentlicher und privater Belange, bedarf allerdings 
einer Rechtfertigung. Der Ausgleich zwischen Informationsfreiheit und Ge- 
heimhaltungsinteresse folgt einer Regel-Ausnahme-Struktur. Will die Behörde 
den Zugang zu bestimmten Informationen verweigern, muss sie das Vorliegen 
einer Ausnahme vom Zugang darlegen.’ Der Anspruch ist also in der Regel 
weit, die Ausnahmetatbestände sind entsprechend ihrer Rechtsnatur eng auszu- 
legen. Die Struktur der Geheimhaltungstatbestände folgt der Geheimhaltungs- 
strenge. Es bestehen neben den Bereichsausnahmen absolute und relative Infor- 
mationsverweigerungsgründe. Im Rahmen der absoluten Verweigerungsgründe 
ist für eine Interessenabwägung kein Raum. Bei relativen Verweigerungsgrün- 
den kann trotz der Beeinträchtigung von Schutzinteressen der Zugang dann 
nicht verweigert werden, wenn ein öffentliches Interesse an der Verbreitung 
überwiegt. Soweit gesetzlich keine abschließende Entscheidung zugunsten der 
Geheimhaltung getroffen ist, ist der exakte Ausgleich der gegenläufigen Positi- 
onen erforderlich.?6 Ist der Informationszugangsanspruch weit auszulegen, 
sind im umgekehrten Verhältnis die Ausnahmetatbestände eng auszulegen.” 
Die Einschränkungen des Zugangsrechts sind an dem expliziten Willen des Ge- 
setzgebers zu messen. 

Für die weitere Untersuchung der Begrenzung des Informationszugangs- 
rechts durch Geheimhaltungsinteressen ist zunächst das Verhältnis des allge- 
meinen IFG zum BSIG zu bestimmen (1.). Sodann ist die Bedeutung der beste- 
henden Ausnahmen für die nicht durch die Sonderregelung aus dem im Übrigen 
anwendbaren IFG ausgenommenen Bereiche darzustellen (2.). Die im BSIG 
geregelte informationsfreiheitsrechtliche Sonderbestimmung basiert auf einer 
unzureichenden Pauschalabwägung (3.). 


dürfnis als Antipoden im Verbraucherinformationsgesetz?, in: Leible (Hrsg.), Verbraucher- 
schutz durch Information im Lebensmittelrecht, 2010, S. 149 ff. (157, 165 £.). 

264 Zugespitzter bei Masing, Transparente Verwaltung, in: VVDStRL 63 (2004), S. 377 
(379): „Die Verwaltung ist nicht transparent — und wird es nie sein.“ 

265 BT-Drs. 15/4493, S. 11 f. 

266 Anschaulich Gurlit, Die Verwaltung 44 (2011), 75 (91 ff). 

267 Bartelt/Zeitler, EuR 2003, 487 (493); Wegener, in: Calliess/Ruffert (Hrsg.), EUV/ 
AEUV, 4. Aufl. 2011, AEUV, Art. 15 Rn. 34; Schoch, IFG, 2009, Vorb. $$ 3 bis 6 Rn. 34 ff. 
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1. Reichweite der Ausnahme vom IFG im BSIG 


Nach der allgemeinen informationsfreiheitsrechtlichen Vorschrift $ 1 Abs. 3 
IFG gehen Regelungen über den Zugang zu amtlichen Informationen in anderen 
Rechtsvorschriften mit Ausnahme des $ 29 VwVfG und $ 25 SGB X vor. Spezi- 
algesetzliche Informationszugangsrechte haben vor dem IFG unabhängig davon 
Vorrang, ob diese tatbestandlich enger oder weiter gefasst sind.?® Eine solche 
vorrangige Spezialregelung kann für gegen das BSI und die Bundesnetzagentur 
gerichtete Informationsansprüche in $8d BSIG gesehen werden.” Die ent- 
scheidende kollisionsrechtliche Frage ist, ob mit $ 8d BSIG als spezielle Infor- 
mationszugangsrechtsregelung die Anwendbarkeit des IFG ausgeschlossen ist. 
Die Frage ist grundsätzlich einfach, im Einzelfall aber häufig schwierig zu be- 
antworten. ?” 

Dem Wortlaut nach betrifft § 8d Abs. 1 BSIG die Auskunft zu bestimmten 
Informationen, während mit Abs. 2 der Zugang zu Akten geregelt wird. Auf- 
grund der Differenzierung in der Binnenstruktur der Norm ist hinsichtlich der 
beiden Informationsfreiheitsarten zu unterscheiden. 

Eine informationsfreiheitsrechtliche Spezialnorm setzt einen abstrakt iden- 
tischen sachlichen Regelungsgegenstand voraus.?’! Um Vorrangwirkung zu 
zeitigen, muss die betreffende Norm also Informationsrechte nicht nur für den 
Einzelfall regeln, sondern eine typisierte Regelung für Informationspflichtige 
nach dem IFG darstellen.” Eine Verdrängung soll dann regelmäßig anzuneh- 
men sein, wenn eine bereichsspezifische Regelung vorliegt, die den Informati- 
onszugang nur für einen engen, bestimmbaren Personenkreis und damit nicht 
für „jedermann“ öffnen will.” Ein vorrangiger Ausschluss sei zudem dort an- 
zunehmen, wo die jeweiligen Rechte die gleichen Anliegen verfolgen „und/ 
oder“ identische Zielgruppen erfassen, mithin, wenn der Informationszugang in 
sachlicher und persönlicher Hinsicht spezifisch beschränkt sein soll.?”* Die Fra- 
ge, ob die spezialgesetzliche Regelung abschließend ist, muss letztlich in jedem 


268 BT-Drs. 15/4493, S. 8. 

29 Für Auskunftsansprüche Dritter gilt für die Bundesnetzagentur gemäß $ 109 Abs. 5 
S. 8 TKG die Vorschrift des $ 8d BSIG entsprechend. Aus dem Regelungsstandort ergibt sich, 
dass die Informationsbegrenzung nur für die Informationen aus der Meldepflicht gilt und 
nicht wie in $ 8d BSIG auch für solche Informationen, die sich auf die branchenspezifischen 
Sicherheitsstandards und deren Erfüllungsnachweise beziehen. Insofern handelt es sich bei 
§ 109 Abs. 5 S. 8 TKG um einen Rechtsfolgenverweis. 

270 Rossi, DVBl. 2010, 544 (557). 

271 BVerwG, BeckRS 2013, 46016, Rn. 46. 

272 Debus, in: Gersdorf/Paal (Hrsg.), BeckOK IMR, 11. Ed. 2016, IFG, $ 1 Rn. 182; VG 
Hamburg BeckRS 2009, 35841; 2011, 45853. 

23 BfDI, 4. Tätigkeitsbericht 2012-2013, BT-Drs. 19/2000, S. 93. 

274 Debus, in: Gersdorf/Paal (Hrsg.), BeckOK IMR, 11. Ed. 2016, IFG, $ 1 Rn. 184. 
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konkreten Einzelfall durch systematische und teleologische Auslegung geklärt 
werden.” 

Der Auskunftsanspruch in § 8d Abs. 1 BSIG weicht zwar von dem in § 1 
Abs. 1 S. 1 IFG formulierten Regelungsgegenstand ab, da dort der Zugang zu 
Informationen geregelt wird. Die Auskunft kann als eine individuelle Mittei- 
lung über Tatsachen oder die Rechtslage definiert werden.?” Sie ist demnach 
eine reine Wissenserklärung und vom Regelungsanliegen des IFG im Wesentli- 
chen nicht zu trennen. Aus der systematischen Auslegung ergibt sich dann auch, 
dass die Auskunft eine Unterart des Informationszugangs ist. In sachlicher Hin- 
sicht begrenzt die Regelung den Zugang zu Informationen über die branchenspe- 
zifischen Sicherheitsstandards für Betreiber kritischer Infrastrukturen und über 
deren Erfüllungsnachweise einschließlich Sicherheitsaudits, Prüfungen und 
Zertifizierungen sowie zu den Meldungen bei IT-Sicherheitsstörungen. Anträge 
auf Zugang zu diesen Informationen sind nicht bereits für sich unzulässig. Die 
Begrenzung bezieht sich auf den Modus der Abwägung. Den Anträgen kann das 
BSI im Rahmen einer Ermessensentscheidung entsprechen, wenn schutzwürdi- 
ge Interessen dem nicht entgegenstehen und durch die Auskunft keine Beein- 
trächtigung sonstiger wesentlicher Sicherheitsinteressen zu erwarten ist. In per- 
sönlicher Hinsicht bezieht sich die Sonderreglung nicht auf „jeden“, sondern auf 
„Dritte“. Unter Dritten sind die nicht am Verfahren beteiligten Personen und 
nicht öffentliche Institutionen zu verstehen.?’”’ Eine generelle Begrenzung in- 
haltlicher Art besteht demnach nur für den Zugang zu personenbezogenen 
Daten, der gemäß § 8d Abs. 1 S.2 BSIG nicht gewährt wird. Der Auskunfts- 
anspruch führt letztlich nur zu einer teilweisen Begrenzung in persönlicher, 
sachlicher und inhaltlicher Hinsicht. 

In gleicher Weise wird die Reichweite der Informationszugangsfreiheit durch 
$ 8d Abs. 2 BSIG begrenzt.””® Der Anspruch wird nur Verfahrensbeteiligten ge- 
währt. Der Verweis auf $ 29 VwVfG führt zu weiteren Einschränkungen. Die 
Einsicht in die Akten muss grundsätzlich für die Geltendmachung der eigenen 
rechtlichen Interessen erforderlich sein. Durch die Spezialregelung wird im Er- 
gebnis der Zugang zu Akten beim BSI nicht generell ausgeschlossen. 


275 BVerwG, BeckRS 2013, 46016, Rn. 46; OVG Münster, BeckRS 2008, 38135; Rossi, 
DVBI. 2010, 554 (557). 

276 Krajewski/Rösslein, in: Grabitz/Hilf/Nettesheim (Hrsg.), AEUV/EUV, 57. Aufl. 2015, 
AEUV, Art. 15 Rn. 38. 

277 Darauf beschränkt sich aber BT-Drs. 18/4096, S. 50. 

278 Vgl. die Parallelvorschrift für Informationen über Betreiber kritischer Infrastrukturen 
im Energiesektor $ 11 Abs. 1c S. 5 EnWG. 
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Der Anwendungsbereich des IFG wird durch das BSIG nur soweit verdrängt, 
wie die Lex-specialis-Regelung des $ 8d BSIG reicht und soweit diese Regelung 
abschließend ist. Das IFG bleibt im Übrigen anwendbar.” 


2. Auswirkungen der allgemeinen Ausnahmen vom Informationszugangsrecht 


Da trotz der Ausnahmen von der Informationsfreiheit durch $ 8d BSIG das IFG 
im Übrigen Anwendung findet, sind die Auswirkungen der allgemeinen Aus- 
nahmen für den Zugang zu NIS-Informationen zu bestimmen. Die Ausnahme- 
tatbestände in den §§ 3 bis 6 IFG dienen dem Schutz unterschiedlicher Rechts- 
güter. Es können grundsätzlich öffentliche Interessen (§§ 3 und 4 IFG) und 
private Interessen (§§ 5 und 6 IFG) unterschieden werden. Entsprechende Aus- 
nahmeregelung enthält Art. 4 der Transparenz-VO. 

Für den Zugang zu Informationen bei Stellen der Union hat die stärkere Ver- 
ortung des Informationszugangs im Verfassungsrecht praktische Konsequen- 
zen im Abwägungsprozess, da mit anderen kollidierenden Grundrechtsgütern 
eine praktische Konkordanz herzustellen ist. Die lediglich einfachgesetzliche 
Verortung der Zugangsfreiheit führt dazu, dass sich das höherrangige Recht 
prinzipiell durchsetzt.?®° Betrifft ein Informationszugangsanspruch Informatio- 
nen bei anspruchsverpflichteten Stellen der Union, streiten Art. 42 GRCh und 
Art. 15 Abs. 1 AEUV auf Ebene des höchstrangingen Rechts gegen kollidieren- 
de Rechtsgüter für den Zugang. 

Bei der Auslegung des IFG sind die Unionsgrundrechte dagegen nicht in dem 
Ausmaß zu beachten, wie es etwa für das Umweltinformationsgesetz (UIG) ge- 
boten ist. Da die Umweltinformationsfreiheit durch Umweltinformations-RL 
2003/4/EG zwingend vorgegeben wird, haben die mitgliedstaatlichen Maßnah- 
men die Grundrechte der Charta bei der Anwendung und Auslegung des euro- 
päischen Rechts gemäß Art. 51 Abs. 1 GRCh zu beachten.”®! Das IFG hat keine 
unmittelbare Entsprechung im unionsrechtlichen Sekundärrecht. 

Für Informationen über die Internetsicherheit sind insbesondere Belange der 
Sicherheit (a), der Schutz vertraulich erhobener und übermittelter Daten (b), per- 
sonenbezogener Daten (c), von Betriebs- und Geschäftsgeheimnissen (d) sowie 
der Schutz des geistigen Eigentums (e) von Bedeutung. Deren Bedeutung wird 
im Nachfolgenden anhand der Ausnahmetatbestände des IFG untersucht, da die 
jeweiligen Erwägungen auf die Transparenz-VO übertragbar sind. 


27 Debus, in: Gersdorf/Paal (Hrsg.), BeckOK IMR, 11. Ed. 2016, IFG, $ 1 Rn. 180; Bundes- 
beauftragte für Datenschutz und Informationssicherheit, Anwendungshinweise zum IFG, 
2007, S. 4. 

280 Vgl. für das Verhältnis von Datenschutz und Informationsfreiheit Roßnagel, MMR 
2007, 16 (19). 

281 Vgl. EuGH, C-617/10, Rn. 21. 
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a) Belange der Sicherheit 


Ein Anspruch auf Informationszugang besteht nicht, wenn das Bekanntwerden 
der Information die Belange der inneren und äußeren Sicherheit oder die öffent- 
liche Sicherheit gefährden kann (§ 3 S. 1 Nr. 1 c), Nr. 2 IFG). Der Vergleich des 
Ausnahmetatbestands des $ 3 Nr. 1 lit. c IFG mit $ 3 Nr. 2 IFG ergibt, dass Ers- 
terer sehr eng auszulegen ist. Nur erhebliche Belange werden geschützt.” Die 
Formel der Gefährdung der öffentlichen Sicherheit entspricht dem Begriff der 
klassischen ordnungsrechtlichen Gefahrenabwehr.’ Aus der Formulierung 
„gefährden kann“ ergibt sich, dass bereits eine abstrakte Gefahr den Informa- 
tionszugang ausschließen kann. Die Herausgabe unmittelbar sicherheitskriti- 
scher Informationen (etwa über der Behörde bekannte Schwachstellen) dürfte 
ob dieser generalhaften Ausnahme der Informationsfreiheit aufgrund von Si- 
cherheitsbelangen mit vergleichsweise geringem Begründungsaufwand zu ver- 
weigern sein. Eine Berücksichtigung der doppeltrelevanten Natur der Informa- 
tionsdistribution (die Information kann sowohl der Sicherheitsgewährleistung 
dienen als auch den Missbrauch erleichtern) ist nicht vorgesehen. Wegen ihres 
Umfangs können die Ausnahmetatbestände in der Tat zur „Verlustliste der In- 
formationsfreiheit“ auch auf dem Gebiet der Internetsicherheit gezählt wer- 
den.”®* Der Blick auf die Praxis zeigt indes, dass Anträge nicht von Vorneherein 
aus Gründen der Sicherheit versagt werden.?®° Informationsanträge an das BSI 
oder die Bundesnetzagentur sind nicht per se aussichtslos.”®° 


282 Rossi, IFG, 2006, § 3 Rn. 15. 

283 Jastrow/Schlatmann, IFG, 2006, $ 3 Rn. 63. 

284 Kloepfer/von Lewinski, DVBl. 2005, 1277 (1280). 

285 Zum Beispiel wurde die Frage, ob zwischen dem BSI und der US-amerikanischen 
National Security Agency (NSA) eine Kooperation bestehe, aufgrund von $3 Nr. 1 a) IFG 
abgelehnt, weil nachteilige Auswirkungen auf internationale Beziehungen zu befürchten wa- 
ren. BSI, Auskunft vom 17.07.2014 auf Antrag vom 19.06.2014, Az. B21-0100305/001, abruf- 
bar unter: https://fragdenstaat.de/files/foi/18647/2014-07-17_-_bsi_kooperationen.pdf. Eine 
Ablehnung auf Grundlage des $ 3 Nr. 1 c) IFG erging auf eine Anfrage hinsichtlich der Zu- 
sendung einer Auflistung aller vom BSI registrierten Domains in maschinenlesbarer Form. 
Die Auskunft hätte die vom Begriff der inneren und äußeren Sicherheit umfasste Funktions- 
fähigkeit des Staates und seiner Einrichtungen gefährdet, da zu befürchten wäre, dass diese 
Informationen für Angriffe in Form von „DNS-Hijacking“ oder „DDos“ missbraucht würden 
sowie die systematische Suche nach Schwachstellen erleichtern würde. BSI, Auskunft vom 
11.09.2015 auf Antrag vom 11.08.2015, Az. B21-0100305/001, abrufbar unter: https://frag 
denstaat.de/files/foi/33446/antwort-bsi-2015-09-11_ geschwaerzt.pdf. 

286 Ein Blick auf die Statistik der Internetplattform fragdenstaat.de hält 20 erfolgreiche 
und 7 teilweise erfolgreiche Anträge von 75 Anfragen fest, abrufbar unter: Fragdenstaat.de, 
https://fragdenstaat.de/behoerde/bundesamt-fur-sicherheit-in-der-informationstechnik/. 
Aufgrund des weiteren Aufgabenbereichs fällt die Aussagekraft für die Bundesnetzagentur 
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b) Geheimnisschutz auf Grund öffentlicher Belange 


Informationszugangsansprüche können des Weiteren im Interesse des Geheim- 
nisschutzes abgelehnt werden. Zu unterscheiden ist der Geheimnisschutz auf- 
grund besonderer öffentlicher Belange (Vertraulichkeitspflichten, Berufsge- 
heimnisse, besondere Amtsgeheimnisse, § 3 Nr. 4 IFG) und aufgrund privater 
Belange, d.h. von Betriebs- und Geschäftsgeheimnissen ($ 6 S. 2 IFG).?’ 

Anders als bei beim Schutz von Betriebs- und Geschäftsgeheimnissen kommt 
es nicht auf das Interesse, sondern auf die Pflicht zur Geheimhaltung an. Der 
Geheimnisschutz wird durch besondere Rechtsvorschriften bewirkt. § 3 Nr. 4 
IFG ist demnach eine Rezeptionsnorm für fachgesetzliche Regelungen. Sind 
Informationen durch besondere Rechtsvorschriften geschützt, sind sie nach dem 
IFG nicht zugänglich.”®® Art und Umfang des Geheimnisschutzes ergeben sich 
damit aus Spezialgesetzen der Rechtsgebiete. 

Ausweislich des Wortlauts von $ 3 Nr. 4 IFG können Rechtsvorschriften oder 
Allgemeine Verwaltungsvorschriften zum Schutz von Verschlusssachen den In- 
formationszugang versperren. Unter „Rechtsvorschrift“ sind nicht nur Parla- 
mentsgesetze, sondern auch untergesetzliches Recht zu verstehen.”®” Eine die 
Vertraulichkeit anordnende Rechtsverordnung muss sich aber auf eine förmli- 
che gesetzliche Rechtsgrundlage zurückführen lassen, die im konkreten Rege- 
lungszusammenhang den Erlass von Normen zur Sicherung eines materiellen 
Geheimnisschutzes umfasst.” Eine solche Ermächtigungsgrundlage mit Be- 
zug auf sicherheitsrelevante Informationen findet sich im einfachgesetzlichen 
NIS-Recht nicht. 

Von besonderer Bedeutung ist daher der Schutz von Verschlusssachen. Für 
deren Schutz genügt noch die formale Einstufung als Verschlusssache. Der 
Ausschlussgrund des $ 3 Nr. 4 IFG setzt vielmehr voraus, dass die Einstufung 
den materiellen Anforderungen der Einstufungsvorschrift genügt.?”! So konnte 
der Antrag auf Übermittlung des Quellcodes für den sog. Bundestrojaner nach 
83 Nr.4 IFG abgelehnt werden, da es sich bei den Informationen um Ver- 
schlusssachen im Sinne des $4 Abs. 1 Sicherheitsüberprüfungsgesetz (SÜG) in 
Verbindung mit $ 2 Verschlusssachen-Anweisung (VSA) handelte. Das öffentli- 
che Geheimhaltungsinteresse war darin begründet, dass die Kenntnisnahme 
des Quellcodes nicht nur den Erfolg polizeilicher Maßnahmen gefährdet hätte, 


geringer aus. Von 133 Anfragen waren 59 erfolgreich und 14 teilweise erfolgreich, abrufbar 
unter: Fragdenstaat.de, https://fragdenstaat.de/behoerde/bundesnetzagentur/. 

287 Vgl. BT-Drs. 15/4493, S. 9, 14. 

288 Schoch, IFG, 2009, $ 3 Rn. 204 f. 

289 BVerwG, NVwZ 2016, 1820 (1821). 

290 OVG Berlin-Brandenburg, BeckRS 2015, 44851, II. 1. a). 

21 Schoch, IFG, 2009, $ 3 Rn. 229. 
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sondern die Information durch Dritte für IT-Angriffe hätte missbraucht werden 
können.” 

§ 3 Nr. 4 IFG macht deutlich, dass das IFG zwar den Grundsatz beschränkter 
Aktenöffentlichkeit aufhebt, der Zugang aber nur zu Informationen gewährt 
wird, die zuvor schlicht nichtöffentlich waren. Auch wenn der Grundsatz „So 
viel Information wie möglich, so viel Geheimnisschutz wie nötig“ gelten soll,” 
werden Geheimhaltungsnormen durch das IFG nicht ausgehebelt. 


c) Schutz vertraulich erhobener und übermittelter Informationen 


Den Schutz des Vertrauens in die Verschwiegenheit der Verwaltung und damit 
der Kooperation Privater mit öffentlichen Stellen bezweckt § 3 Nr. 7 IFG. Der 
Anspruch auf Informationszugang besteht nicht, soweit das Interesse des Drit- 
ten an einer vertraulichen Behandlung zum Zeitpunkt des Zugangsantrags fort- 
besteht. Der Ausschlussgrund soll die Bereitschaft zur Kooperation mit der Ver- 
waltung fördern und berücksichtigt dabei insbesondere den Wissensbedarf der 
Verwaltung.””* Eine parallele Vorschrift findet sich weder im VIG noch im son- 
stigen Informationsrecht. Vom Schutz des $ 3 Nr. 7 IFG werden alle in die Sphä- 
re des Staates gelangenden Informationen erfasst.?”° Geschützt werden dem- 
nach die von NIS-Behörden vertraulich erhobenen und vertraulich an sie über- 
mittelten Daten.””s 

In erster Linie bezweckt $ 3 Nr. 7 IFG den Schutz der freiwilligen Informati- 
onszusammenarbeit. Insbesondere die Informationen von Hinweisgebern (z.B. 
Whistleblowern) sollen vor einer unbeeinflussten Herausgabe nach außen ge- 
schützt werden.” Die Schutzwürdigkeit des Vertrauens besteht dann, wenn der 
Informationsgeber gegenüber dem Informationsnehmer ausdrücklich oder im- 
plizit voraussetzt, dass die Information der Öffentlichkeit nicht zugänglich ge- 
macht wird.” Es bleibt aber anhand der Umstände des Einzelfalls zu beurtei- 
len, ob eine Information nicht für die Öffentlichkeit bestimmt ist. Leitfrage bei 
der Bestimmung ist, ob die in die Sphäre des Staates gelangte Information ohne 


292 Bundesamt für Sicherheit in der Informationstechnik, Auskunft vom 09.07.2015 auf 
Antrag vom 10.06.2015, Az. B21-0100305/001, abrufbar unter: https://fragdenstaat.de/files/ 
foi/30973/ablehnung-bsi_geschwaerzt.pdf. 

293 BT-Drs. 15/4493, S. 11. 

294 OVG Berlin-Brandenburg, Urteil vom 05.10.2010 — 12 B 5/08, BeckRS 2010, 56783, II. 
2; vgl. BT-Drs. 15/4493, S. 11. 

25 Schirmer, in: Gersdorf/Paal (Hrsg.), BeckOK IMR, 11. Ed. 2016, IFG, $ 3 Rn. 187. 

296 Sellmann/Augsberg, WM 2006, 2293 (2300). 

27 Vgl. Jastrow/Schlatmann, IFG, 2006, $ 3 Rn. 106. 

298 VG Berlin, Urteil vom 22.03.2012 — VG 2 K 102.11, BeckRS 2012, 50035, 2b. 
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die (Zusicherung der) Vertraulichkeit nicht hätte erhoben werden können bzw. 
nicht übermittelt worden wäre.” 

Nicht alle Informationen, die von den NIS-Behörden erhoben oder die ihnen 
zur Verfügung gestellt werden, können als vertraulich angesehen werden. Wür- 
den alle generierten Informationen neben dem verwaltungsrechtlich gewähr- 
leisteten Geheimnisschutz dem Vertraulichkeitsschutz zuzuordnen sein, wäre 
der Zugang zu diesen Informationen durch eine faktische Bereichsausnahme 
weitgehend gesperrt. Eine solche Ausnahme ist aber nur für die Nachrichten- 
dienste und besondere Sicherheitsbehörden vorgesehen ($ 3 Nr. 8 IFG).?” 

Ein besonderes Vertraulichkeitsinteresse im Sinne dieses Ausnahmetatbe- 
standes dürfte vor allem für die auf freiwilliger Basis übermittelten Sicherheits- 
vorfälle bestehen. Dies sind insbesondere die Meldungen von Kleinstunterneh- 
men und kleineren Unternehmen, die nicht von der Meldepflicht erfasst sind 
(Art. 16 Abs. 11 NIS-RL). Vom Schutz vor einer Weitergabe vertraulich gemel- 
deter Informationen geht neben der durch die Meldung möglichen zivilrechtli- 
chen Schadensminderung eine zusätzliche Anreizwirkung aus. Die informati- 
onsfreiheitsrechtliche Ausnahme des $ 3 Nr. 7 IFG ist daher nicht nur als kogni- 
tive Begrenzung aufzufassen, sondern umgekehrt auch als Bedingung der 
Generierung von Wissen, da sie es den Unternehmen erleichtert, den Behörden 
exklusive Informationen zuzuspielen. 


d) Datenschutz 


Personenbezogene Daten dürfen nur höchst ausnahmsweise gemäß § 5 IFG he- 
rausgegeben werden. Darin ist nicht schon für sich eine bloße Abschirmung der 
Öffentlichkeit von potenziell relevanten Informationen zu sehen. Bei einer ge- 
neralisierenden Überlegung sorgt die Begrenzung der Informationsdistribution 
für eine begrüßenswerte Freisetzung „kognitiver Innovationspotentiale‘*"!, 
weil der öffentlichen Beobachtung entzogene Sphären eher dazu führen, dass 
der Einzelne die „Risiken des Scheiterns“ in Kauf nimmt, da so gewonnene 
Freiheiten zu neuen Handlungen anregen und eine „Ordnung des Experimentie- 
rens institutionalisieren“.°® Der Einzelne kann aufgrund von § 5 IFG grund- 
sätzlich davon ausgehen, dass die ihn betreffenden personenbezogenen Daten 
geschützt werden. 


29 So Schirmer, in: Gersdorf/Paal (Hrsg.), BeckOK IMR, 11. Ed. 2016, IFG, $ 3 Rn. 189. 

300 Vgl. ferner zur Bundesanstalt für Finanzdienstleistungsaufsicht VGH Kassel, Ent- 
scheidung vom 24.03.2010 — 6 A 1832/09, II. 3. 

301 Augsberg, Informationsverwaltungsrecht, 2014, S. 219 f. 

302 Ladeur, Der Staat gegen die Gesellschaft, 2006, S. 125. 
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Mit Blick auf die Informationsdistribution zum Zweck der Internetsicherheit 
kann von $5 IFG eine erhebliche Begrenzung für den Informationsfluss ausge- 
hen. Die Verweigerung der Herausgabe von Informationen kommt insbesondere 
dann in Betracht, wenn mit einer weiten Auslegung des Kriteriums der Perso- 
nenbeziehbarkeit Maschinendaten wie IP-Adressen als personenbezogene Da- 
ten zu behandeln sind.’ Verfügt die NIS-Verwaltung etwa über IP-Adressen 
von Botnetzwerken, könnten die Daten mit existierenden Informationen zusam- 
mengeführt werden, um Botnetz-Beschreibungen und Filter sowohl um weitere 
IP-Adressen als auch um die Beschreibung der Aktivität des Botnetzes anzurei- 
chern.?°* Eine Verwertung der bei der Verwaltung vorhandenen Informationen 
zum Zwecke des Selbstschutzes kommt dann nur nach einer entsprechenden 
Abwägung in Betracht. Bei derart abstrakten Gefährdungen für den Einzelnen 
dürfte allerdings dem Datenschutz regelmäßig kein relativer Vorrang einzuräu- 
men sein. Ein Verlust des Datenschutzes im Sinne der Privatsphäre (privacy) ist 
in diesen Konstellationen typischerweise nicht zu befürchten. 


e) Betriebs- und Geschäftsgeheimnisse 


Der Schutz von Betriebs- und Geschäftsgeheimnissen ist im IFG besonders 
stark ausgeprägt.” Durch den Einwilligungsvorbehalt in § 6 S.2 IFG ist der 
Rechtsinhaber im Vergleich zum datenschutzrechtlich Betroffenen sogar im Er- 
gebnis stärker geschützt.” Bine Abwägung der widerstreitenden Interessen der 
Beteiligten erfolgt nicht (vgl. Art. 4 lit. b) Transparenz-VO).’” Eine Offenba- 
rungsvermutung wie bei telekommunikationsrechtlichen Beschlusskammer- 
verfahren ($ 136 S. 3 TKG) besteht ebenfalls sind. 

Der Begriff der Betriebs- und Geschäftsgeheimnisse wird im IFG nicht näher 
präzisiert. Aus den Gesetzesbegründungen zu den speziellen Informations- 
freiheitsgesetzen geht hervor, dass sich die Gesetzgeber an dem gewachsenen 
Begriffsverständnis von $ 17 UWG orientieren und so eine einheitliche rechts- 
gebietsübergreifende Begriffsbestimmung ermöglichen wollten.’°® Ob ein Be- 
triebs- oder Geschäftsgeheimnis vorliegt, ist aber auch anhand der Besonder- 


303 Siehe § 3 E. II. 1. b). 

304 Vgl. zu dieser Informationsverwertung im Rahmen eines Botnetz-Monitorings Engeler/ 
Jensen/Obersteller/Deibler/Hansen, Monitoring durch Informationsfusion und Klassifika- 
tion zur Anomalieerkennung, 2014, S. 9. 

305 Vgl. auch die Verankerung in Art. 41 Abs. 2 lit. b GRCh. 

306 Kritisch Kugelmann, NJW 2005, 3609 (3612). 

307 BVerwG, NVwZ 2009, 1113 (1114). 

308 Vgl. Rossi, IFG, 2006, § 6 Rn. 63; Kloepfer, Informationsfreiheitsgesetz und Schutz 
von Betriebs- und Geschäftsgeheimnissen, Juni 2011, S. 15 f., online abrufbar. 
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heiten des jeweiligen Sach- und Rechtsgebiets zu bestimmen.” Es kann somit 
auf Ausführungen zum viergliedrigen Schutztatbestand und auf das Beispiel 
des Schutzes von IT-Sicherheitslücken verwiesen werden.’ 

Bei der Entscheidung über die Offenlegung ist zu beachten, dass der Schutz 
der Geheimnisse kein grundsätzlicher, sondern ein funktionaler Schutz ist. So- 
weit ein berechtigtes Interesse des Unternehmens an der Nichtverbreitung nicht 
gegeben ist, scheidet der Schutz nach $ 6 S. 2 IFG aus. Informationen über be- 
trügerische Geschäftspraktiken etwa unterfallen per se nicht dem Schutzbe- 
reich.°!! Ist die Offenlegung des exklusiven, in der Regel technischen Wissens 
nicht geeignet, die Wettbewerbsposition des Unternehmens nachteilig zu beein- 
flussen, fehlt es regelmäßig an einem berechtigten Interesse.°'?” Daten von Mo- 
nopolunternehmen sind demnach grundsätzlich nicht schutzwürdig. 

Im Ergebnis wird das Informationsinteresse aufgrund des Einwilligungsvor- 
behalts, der letztlich ein Vetomechanismus ist, nur selten zur Geltung kom- 
men.?"? 


f) Geistiges Eigentum 


Das geistige Eigentum ist vor dem Informationszugang durch den absoluten 
Ausschlusstatbestand des § 6 S. 1 IFG geschützt. Soweit der Schutz geistigen 
Eigentums entgegensteht, besteht der Anspruch auf Informationszugang nicht. 
Zum geistigen Eigentum gehören technikbezogene gewerbliche Schutzrechte 
wie die des gewerblichen Rechtsschutzes in Form von Marken-, Patent-, Ge- 
brauchsmuster- und Geschmacksmusterrechten sowie geistige Schöpfungen im 
Sinne des Urheberrechts.?!* 

Der Ausschlussgrund kann etwa dann Wirkungen zeitigen, wenn vorhandene 
Quellcodes zum Zwecke des Reviews herausverlangt werden. Der Informati- 
onszugang kann verweigert werden, sofern der Code oder das Programm urhe- 
berrechtlich geschützt ist. Das BSI darf aber auf Grundlage von § 7a Abs. 2 S. 2 


309 Vgl. Gesetzesbegründung, BT-Drs. 15/4493, S. 14. 

310 Siehe § 3 E. III. 2. 

311 Heußner, Informationssysteme im Europäischen Verwaltungsverbund, 2007, S. 321. 

312 BVerwG, NVwZ 2009, 1113 (1113); Stancke, BB 2013, 1418 (1424). 

33 Verständlich ist die Regelung vor dem Hintergrund, dass eine Sicherheitsbehörde 
schnell an ihre Wissensgrenze stößt, wenn sie bei der Entscheidung des Zugangs zu Betriebs- 
und Geschäftsgeheimnissen eine wirtschaftspolitische Grundsatzentscheidung trifft. Ver- 
gleichbare Regelungen wie § 3 S. 2 des Verbraucherinformationsgesetzes (VIG) zeigen hin- 
gegen, dass ein Einwilligungsvorbehalt rechtspolitisch nicht zwingend ist. Vgl. Spindler, 
ZGR 2011, 690 (695); Kloepfer/Greve, NVwZ 2011, 577 (578). 

314 Guckelberger, in: Gersdorf/Paal (Hrsg.), BeckOK IMR, 11. Ed. 2016, IFG, § 6 Rn. 4. 
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BSIG Zugang zu den aus Produktuntersuchungen gewonnenen Erkenntnissen 
gewähren. 

Im Einzelfall kann es durchaus fraglich sein, ob der Informationsfreiheit 
Schutzrechte Dritter entgegengehalten werden können. So kann bei Urheber- 
rechten das dem Urheber zustehende Veröffentlichungsrecht nach $ 12 UrhG 
bereits dadurch verbraucht sein, dass der Urheber selbst sein Werk an die Behör- 
de weitergibt und es somit im Sinne von $ 12 UrhG bereits veröffentlicht.”'° 
Wird über die Einsicht in Akten hinaus auch die Herstellung von Vervielfälti- 
gungsstücken begehrt, kann daneben die Beeinträchtigung des Vervielfälti- 
gungsrechts nach $ 16 UrhG mit dem Argument bezweifelt werden, dass mit 
Blick auf $ 53 UrhG, wonach eine Vervielfältigung nur zum privaten Gebrauch 
zulässig ist und dessen Abs. 6 die Weitergabe von Kopien weitgehend aus- 
schließt, eine Beeinträchtigung des Urheberrechts nicht zu befürchten ist.”'° Er- 
hält die Behörde ein Dokument mit Zustimmung des Rechtsinhabers, ist zudem 
der Eingriff in das Verbreitungsrecht nach $ 17 UrhG fraglich, da hinsichtlich 
des übergebenen Dokuments eine Erschöpfung nach $ 17 Abs. 2 UrhG vorliegen 
kann.” 

Grundsätzlich in Betracht kommt auch, dass sich die NIS-Behörde auf eigene 
geistige Eigentumsrechte beruft, da $6 IFG nicht zwischen öffentlichen und 
privaten Interessen differenziert. Sofern sie aber überhaupt schutzfähig sind, 
sprechen die verfassungsrechtlichen Wertungen zum Informationszugang da- 
für, dass die Behörde insbesondere dann nicht von ihren Verwertungsrechten 
Gebrauch macht, wenn die Werke und Schriftstücke mit Steuermitteln geschaf- 
fen wurden. 

Soweit die NIS-Behörde eine Datenbank selbst erstellt oder verwaltet, kommt 
als Schranke des Informationszugangs das Recht des Datenbankherstellers im 
Sinne der RL 96/9/EG bzw. des $ 87a UrhG grundsätzlich nicht in Betracht, da 
das Recht unternehmensbezogen ist und die Tätigkeit der NIS-Behörden nicht 
als wirtschaftlich zu qualifizieren ist.?'? 


315 Raue, JZ 2013, 280 (285). 

316 WiebelAhnefeld, CR 2015, 127 (130); Raue, JZ 2013, 280 (283). 

317 Raue, JZ 2013, 280 (287). Der EuGH, C-128/11, hat offen gelassen, ob der Erschöp- 
fungsgrundsatz auch digitale Güter und übertragene Datensätze erfasst. Dazu Marly/Wirz, 
EuZW 2017, 16 (19). 

318 Zwar kommen öffentliche Stellen als Inhaber dieses sui-generis-Rechts in Betracht, 
allerdings nur, soweit sie auch eine wirtschaftliche Tätigkeit ausüben, vgl. EuGH, C-138/11, 
Rn. 36 ff. 
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3. Pauschalabwägung der Interessen im BSIG 


Vor dem Hintergrund des differenzierten Regelwerks des IFG zum Schutz der 
der Informationsfreiheit entgegenstehenden Interessen stellt sich die Frage der 
Erforderlichkeit der Regelungen in $ 8d BSIG. 

Die NIS-Behörde darf ein Auskunftsverlangen ablehnen, wenn schutzwürdi- 
ge Interessen des betroffenen Betreibers kritischer Infrastrukturen dem nicht 
entgegenstehen und durch die Auskunft keine Beeinträchtigung wesentlicher 
Sicherheitsinteressen?!” zu erwarten ist. Problematisch dabei ist, dass ermes- 
senslenkende Maßstäbe nur für die Ausschlussgründe genannt werden und 
nicht für legitime Interessen der informationsinteressierten Dritten. Eine Abwä- 
gung mit privaten oder öffentlichen Interessen ist dem Wortlaut nach nicht vor- 
gesehen. Durch die Regelung wird eine Auskunft bereits dann ausgeschlossen, 
wenn schutzwürdige Interessen entgegenstehen. Der Antrag auf Auskunft 
könnte bereits bei geringsten Sicherheitsinteressen des Betreibers abgelehnt 
werden, selbst wenn dem gewichtigere Sicherheitsinteressen eines anfragenden 
Unternehmens, das sich selbst besser schützen möchte, gegenüberstehen. Die 
Interessen des betroffenen Betreibers haben selbst bei einem „überwiegenden“ 
Informationsinteresse Vorrang. Dem Wortlaut nach wäre auch eine Teilaus- 
kunft unmöglich, „soweit“ schutzwürdige Interessen nicht entgegenstehen. 

Die starre Regelung ist vor dem Hintergrund der rechtspraktischen Schwie- 
rigkeiten zu verstehen, die sich im informationsfreiheitsrechtlichen Interessen- 
ausgleich stellen. Für die Geheimhaltung sind stets konkrete Schutzinteressen 
anzuführen, während ein konkretes Informationsinteresse dem in der Regel 
nicht gegenübergestellt werden kann, weil der Zugangsanspruch gerade nicht 
vom Antragsteller die Geltendmachung eines besonderen Interesses verlangt. 

Einer zu pauschalen Abwägungsmaxime, die den Informationszugangsan- 
spruch bereits bei einem schutzwürdigen substanziierten Geheimhaltungsinter- 
esse zurücktreten lässt, ist aber entgegenzuhalten, da es sich bei einem Infor- 
mationszugangsanspruch um ein mehrpoliges Rechtsverhältnis handeln kann, 
dessen Bescheidung die Einbeziehung privater und öffentlicher Interessen ver- 
langt.” Eine solche pauschale Abwägung widerstreitender, begründeter Inter- 
essen kann einen im Einzelfall schonenderen Ausgleich der Grundrechtsposi- 
tionen vereiteln. 

Zwar sind für Zugangsansprüche auch im Kontext der Internetsicherheit das 
Informations- und Geheimhaltungsinteressen jeweils ihre Antipoden, die kon- 
fligierenden Interessen können sich aber auf den gleichen Schutzzweck bezie- 


319 Vgl. Art. 1 Abs. 6 NIS-RL. 
320 Vgl. aber VG Braunschweig, BeckRS 2013, 48838 (Rn. 43); kritisch Wegener, NVwZ 
2015, 609 (615). 
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hen. Verlangt ein Betreiber kritischer Infrastrukturen Informationen über von 
einem anderen Betreiber gemeldete IT-Schwachstellen einschließlich der ge- 
troffenen Abhilfemaßnahmen, so dient dies nicht nur der Befriedigung der Neu- 
gier, sondern selbst der Härtung der Sicherheit in kritischen Infrastrukturen. 
Wird die Auskunft gewährt, dient dies folglich zum einen dem privaten Interes- 
se des Betreibers und zum anderen dem öffentlichen Interesse an der Sicherheit 
der kritischen Infrastrukturen. Denkbar ist daneben, dass der Informationszu- 
gang der Präzisierung der IT-Sicherheitsstrategien oder der Bestimmung weite- 
rer Forschungs- und Entwicklungsanstrengungen dient. 

Der pauschale Ausgleich multipolarer Interessen in $ 8d BSIG verhindert von 
vorneherein den Grundrechtsvoraussetzungsschutz durch Informationsvorsor- 
ge im Einzelfall, obwohl das Informationshandeln durch Gewährung des Infor- 
mationszugangs neben den begrenzt verfügbaren rechtlichen Maßnahmen eine 
der wenigen tatsächlichen Möglichkeiten darstellt, die Grundrechte des Einzel- 
nen und die Gewährleistungsverantwortung des Staates zu verwirklichen. Die 
Konturierung und Rationalisierung der Abwägung durch grundrechtlich ge- 
schützte Positionen (bei Bürgern nicht zuletzt das Grundrecht auf Gewährleis- 
tung der Integrität und der Vertraulichkeit informationstechnischer Systeme) 
schließt die starre Regelung des $ 8d BSIG aus. 

Soweit für den pauschalen Vorrang der Schutzinteressen des Betreibers das 
Interesse an seiner Reputation angeführt werden kann, ist zu bedenken, dass 
nicht jede Auskunft über eine Information im Rahmen der Meldepflicht zu ei- 
nem Reputationsverlust führt. Im Gegenteil, die Information über die erfolgrei- 
che Abwehr eines Cyberangriffs kann für das Ansehen eines Unternehmens 
sogar förderlich sein. Kam es infolge eines Angriffs zu einem Ausfall oder eine 
Beeinträchtigung, so dürfte ein Imageschaden zudem erst dann drohen, wenn 
damit die Information verbunden ist, dass dem Unternehmen ein bestimmtes 
Verhalten oder Unterlassen vorzuwerfen ist. 

Für einen hohen Schutz der Betreiberinteressen sprechen indessen die sich 
aus der Auskunft ergebenden Haftungsrisiken. Eine erlangte Information kann 
der Beweisführung des Geschädigten in einem zivilrechtlichen Haftungspro- 
zess dienen. Allein das Risiko eines Haftungsprozesses könnte das Vertrauen 
der meldepflichtigen Unternehmen in die Vertraulichkeit der übermittelten In- 
formationen und damit die Funktionsfähigkeit des Meldesystems als solches 
erschüttern.”?! Unionsrechtlich sprechen Art. 14 Abs. 3 S.2 und Art. 16 Abs. 3 


32! Im US-amerikanischen Cybersecurity Information Sharing Act von 2015 (CISA), H.R. 
2029 — Consolidated Appropriations Act, 2016, Division N, ist gemäß Sec. 104 d) (4) (B) (ii) 
die Offenlegung eines thread indicator oder der defense measure über alle Informationsfrei- 
heitsgesetze (freedom of information law, open government law, open meetings law, open 
records law, sunshine law oder vergleichbare Gesetze) generell ausgeschlossen. Dies ist auf 
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S.2 NIS-RL für die Schutzwürdigkeit dieser Interessen. Allerdings sollen die 
Mitgliedstaaten den Betreibern nur Schutz vor einer erhöhten Haftung bieten. 
Die allgemeine Haftung ist nicht prinzipiell auszuschließen. Gegen die undiffe- 
renzierte Anerkennung des grundsätzlich berechtigten Interesses am Schutz der 
Vertraulichkeit der übermittelten Informationen im Rahmen der Informations- 
freiheit spricht schließlich, dass diesem schon durch die Möglichkeit Rechnung 
getragen wird, Sicherheitsvorfälle nach $ 8b Abs. 4 BSIG pseudonym über eine 
Kontaktstelle zu melden. 

Neben dem Auskunftsanspruch ist der Zugang zu Akten nach $ 8d Abs. 2 
BSIG gänzlich undifferenziert geregelt. Der Informationszugangsanspruch ist 
absolut und ausnahmslos mit der Begründung eingeschränkt, es handele sich 
um „hochsensible, kumulierte sicherheitskritische Informationen, die einem be- 
sonders hohen Schutzbedürfnis unterliegen“ und deren Risikopotential die Zu- 
gänglichkeit von vorneherein einschränke.’*? Dabei erscheint die Beschränkung 
auf alle Akten zu Lasten einer Einzelfallabwägung unangemessen, denn das 
IFG stellt bereits differenzierende Möglichkeiten bereit, die Offenlegung zu 
verhindern, wenn ein solcher Schaden zu befürchten ist. 


IV. Bereitstellung und Verwendung der Informationen 


Die informationsverwaltungsrechtliche Bedeutung des Informationszugangs 
wird davon beeinflusst, welche Qualität die Informationen, zu denen Zugang 
besteht, aufzuweisen haben. Angesichts der Menge und der (subjektiven) Kom- 
plexität der Daten kann es sinnvoll sein, die Informationen, zu denen ein Zu- 
gangsanspruch besteht, so bereitzustellen, dass sie nicht nur für Menschen, son- 
dern auch von Maschinen lesbar sind. Für die Frage, in welchem Umfang die 
Informationen zirkulieren können und ob sie kommerziell für neue Sicherheits- 
produkte verwertet werden können, ist zu bestimmen, welche Anforderungen 
an die Verwendung der bereitgestellten Informationen zu stellen sind. 

Im Gegensatz zu den Publikumsinformationen können an die Qualität der 
zugänglich gemachten Informationen grundsätzlich keine besonderen Anforde- 


erhebliche Kritik gestoßen, vgl. Sweren-Becker, Congress Working in the Dark on Cyber- 
security Bill, American Civil Liberties Union (ACLU) vom 17.11.2015, online abrufbar; vgl. 
aber Zheng/Lewis, Cyber Threat Information Sharing: Recommendations for Congress and 
the Administration, 2015, S. 5. Im Wesentlichen ist die Pauschalausnahme aber damit zu be- 
gründen, dass einerseits in einem sehr weitreichenden Ausmaß mit öffentlichen Stellen In- 
formationen geteilt werden können und andererseits, dass das Gesetz die Informationen als 
auf freiwilliger Basis mitgeteilt ansieht. Für einen solchen Informationsaustausch würde $ 3 
Nr. 7 IFG einen ähnlichen Ausschluss für den Informationszugang darstellen. 
322 BT-Drs. 18/4096, S. 51 f. 
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rungen gestellt werden (1.). Werden Daten über das Internet zur Verfügung ge- 
stellt, sind diese unter bestimmten Voraussetzungen maschinenlesbar bereitzu- 
stellen (2.). Die Weiterverwendung bereitgestellter Informationen kann von den 
NIS-Behörden grundsätzlich nicht weiter beeinflusst werden (3.). 


1. Anforderungen an die Informationen 


Die über das Informationsfreiheitsrecht zugänglichen Daten und Informationen 
sind regelmäßig Nebenprodukte der öffentlichen Aufgabenerfüllung, weil die 
Daten ursprünglich zu einem anderen sachlichen Zweck erhoben wurden. Da- 
her liegen die Informationen nicht von vorneherein in einer zur Veröffentli- 
chung besonders geeigneten Form vor. Wohl aus dem Grund, dass die Informa- 
tionsfreiheit unter dem Aspekt der demokratischen Kontrolle und Partizipation 
der Bürger und der Akzeptanz administrativer Entscheidungen verstanden 
wird, sind die Anforderungen an das Qualitätsniveau der zugänglichen Infor- 
mationen im allgemeinen Informationsfreiheitsrecht auch entsprechend gering, 
da den genannten Zwecken auch so Genüge getan wird.’ „Für andere, für wei- 
ter gehende Verwendungszwecke erweist sich das Informationsfreiheitsrecht 
[...] dagegen eher als Fundgrube denn als Fachhandel.“ ** 

Im Unterschied zu den Publikumsinformationen besteht im Rahmen des In- 
formationszugangs grundsätzlich keine Richtigkeitsgewähr (vgl. § 7 Abs. 3 S. 2 
IFG).? Die Behörden trifft keine amtliche Beschaffungs- und Aufbereitungs- 
pflicht.””° Sie haben auch nicht den Inhalt der Informationen zu prüfen.’ Die 
Informationsbegehrenden haben die Informationsbestände so anzunehmen, wie 
sie vorhanden sind. 

Weitergehende Anforderungen an die Bereitstellung der vorhandenen Infor- 
mationen folgen lediglich aus allgemeinen Rechtsgrundsätzen. Der Anspruch 
der Vollständigkeit der Daten bezieht sich nur auf den Bestand der vorliegenden 
Informationen. Der Verzicht des Gesetzgebers auf weitere Anforderungen an 
die Information trägt der Eigenheit der gesellschaftlichen Wissensproduktion 
Rechnung. Der Wert und die Verarbeitung von Informationen sind stets an die 


33 Vgl. Schoch, EuZW 2011, 388 (394); Rossi, NVwZ 2013, 1263 (1264), der allenfalls in 
§ 7 Abs. 1 S. 3 IFG eine schwache mittelbare Beschränkung der Nutzung erkennt. 

324 Rossi, NVwZ 2013, 1263 (1264). 

325 Vgl. dagegen Art. 8 RL 2003/4/EG bzw. § 7 Abs. 3 UIG. Danach gewährleisten die 
informationspflichtigen Stellen, soweit möglich, dass alle Umweltinformationen, die von ih- 
nen oder für sie zusammengestellt werden, aufdem gegenwärtigen Stand exakt und vergleich- 
bar sind. 

26 Gurlit, Die Verwaltung 44 (2011), 75 (90). 

327 Rossi, NVwZ 2013, 1263 (1265). 
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Rezeption gebunden, weshalb eine unverarbeitete Weitergabe die weitere Verar- 
beitung am wenigsten verfälscht. 


2. Weiterverwendung zugänglicher Informationen 


Einen Beitrag zur Sicherheitsgewährleistung kann die Distribution von sicher- 
heitsbezogenen Informationen schließlich leisten, wenn sich das wirtschaftliche 
Potenzial der Daten dergestalt realisiert, dass Informationen zur Entwicklung 
innovativer und besserer IT-Sicherheitsprodukte oder Dienstleistungen beitra- 
gen können. Es stellt sich also die Frage, ob auf Grund des Informationsfrei- 
heitsrechts zusätzliche Anforderungen an die weitere Nutzung der von NIS-Be- 
hörden zugänglich gemachten Daten zu stellen sind. 

Grundlage für das Recht zur Weiterverwendung von Informationen der öf- 
fentlichen Hand ist die Public-Sector-Information-Richtlinie 2003/98/EG (PSI- 
Richtlinie), die durch das Informationsweiterverwendungsgesetz (IWG) umge- 
setzt wird.’ Die PSI-Richtlinie von 2003 bezweckt, einen unionsweiten Min- 
deststandard für die Nutzung von Dokumenten öffentlicher Stellen zu schaffen 
(Art. 1 Abs. 1 RL 2003/98/EG). Hintergrund der Regelungen zur Weiterverwen- 
dungsfreiheit von Daten ist die Anerkennung, dass auch staatlichen Informatio- 
nen ein wirtschaftlicher Wert zukommen kann.’ 

Vom Anwendungsbereich erfasst sind nach $ 2 Abs. 1 IWG öffentliche Stel- 
len. Als öffentliche Stellen gelten nach $ 2 Abs. 1 Nr. 1 b) IWG juristische Per- 
sonen des öffentlichen oder privaten Rechts, die zu einem bestimmten Zweck 
gegründet wurden, im Allgemeininteresse liegende Aufgaben nichtgewerbli- 
cher Art erfüllen und die überwiegend durch öffentliche Stellen finanziert oder 
beherrscht werden. Erfasst sind also grundsätzlich auch NIS-Stellen. 

Weiterverwendung ist nach Art. 2 Nr. 4 PSI-Richtlinie bzw. $2 Nr. 3 IWG 
jede Nutzung der Informationen für kommerzielle oder nichtkommerzielle 
Zwecke, die über die Erfüllung öffentlicher Aufgaben hinausreicht und die in 
der Regel auf die Erzielung von Entgelt gerichtet ist. Regelmäßig keine Weiter- 
verwendung stellen die intellektuelle Wahrnehmung einer Information und die 
Verwertung des dadurch erlangten Wissens dar.” Im Schwerpunkt liegt somit 
dann eine Weiterverwendung vor, wenn durch Verarbeitung und Aufbereitung 
ein Mehrwertprodukt entsteht, das sich durch ein neues, angereichertes Mehr- 
wertangebot (added value) auszeichnet. Zwar wird durch die PSI-Richtlinie 
bzw. das IWG kein Anspruch auf Zugang zu Informationen begründet, Art. 3 


28 Vgl. BT-Drs. 16/2452, S. 7. 
329 Vgl. Püschel, Informationen des Staates als Wirtschaftsgut, 2006, S. 21 ff. 
30 Vgl. Legaldefinition des Art. 2 Nr. 4 Richtlinie 2003/98/EG. 
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Abs. 1 PSI-Richtlinie bzw. § 1 Abs. 2a TWG." Das IWG gilt nicht für Informa- 
tionen, an denen kein oder nur ein eingeschränktes Zugangsrecht besteht, § 1 
Abs. 2 Nr. 1 IWG.?? Durch die Änderungsrichtlinie 2013/37/EU und die Novel- 
lierung des IWG 2015 ist aber ein echter Anspruch auf Weiterverwendung ein- 
geführt worden. Nach § 3 IWG a. F. war Voraussetzung der Weiterverwendung 
von Informationen, dass die öffentliche Stelle die Weiterverwendung bereits 
einmal gestattet hatte. Es bestand kein Recht auf erstmalige Weiterverwen- 
dung.” Mit dem in $ 2a S. 1 IWG festgeschriebenen Grundsatz der Weiterver- 
wendung besteht nunmehr ein Anspruch des Antragstellers auf Weiterverwen- 
dung zugänglicher Informationen.°°* 

Der Weiterverwendungsanspruch ist demnach grundsätzlich abhängig von 
der Frage der Zulässigkeit des Informationszugangs. Der Weiterverwendung 
können die Gegenrechte entgegengehalten werden, die auch beim Informations- 
zugang zu beachten waren. Die Zwecke der Weiterverwendung bereitgestellter, 
nicht geschützter Informationen können von den NIS-Behörden im Übrigen 
grundsätzlich nicht weiter beeinflusst werden.” Das Informations- und Weiter- 
verwendungsfreiheitsrecht enthält weder positive Verwendungsbestimmungen 
noch etabliert es Verwendungsbeschränkungen. Soweit NIS-bezogene Informa- 
tionen einmal herausgegeben werden, sind diese grundsätzlich allgemein zu- 


31 Erwägungsgrund Erwägungsgründe 7 und 8 der RL 2013/37/EU zur Änderung der RL 
2003/98/EG. 

32 Nach Brummund-Dieckhoff, Die Abgrenzung von Zugang und Weiterverwendung, in: 
Dreier/Fischer/van Raay/Spiecker gen. Döhmann (Hrsg.), Informationen der öffentlichen 
Hand — Zugang und Nutzung, 2016, S. 251 (253) baut das IWG auf die Regelungen zu den 
Informationszugangsgesetzen auf. Die Anwendbarkeit erfordert nach dieser Auffassung ein 
subjektiv-öffentliches Recht auf Informationszugang. Nach BVerwG, NVwZ 2016, 1183 
(1184) liegt $ 1 Abs. 2 Nr. 1 IWG mit Blick auf Erwägungsgrund 8 RL 2013/37/EG eine ob- 
jektiv-rechtliche Sichtweise zugrunde. Es muss nicht notwendig ein Anspruch auf Zugang zu 
der betreffenden Information bestehen, um den Anwendungsbereich der Richtlinie zu eröff- 
nen. Es reicht auch aus, wenn die Information im Einklang mit einschlägigen Zugangsrege- 
lungen bereits tatsächlich zugänglich gemacht worden ist. 

33 BR-Drs. 358/06, S. 29. 

334 Für eine weite Auslegung bereits Eifert, Staatliche Informationsinfrastrukturen — Or- 
ganisation im gegliederten Verwaltungsraum und private Weiterverwendung der Verwal- 
tungsinformationen, in: Lipowicz/Schneider (Hrsg.), Perspektiven des deutschen, polnischen 
und europäischen Informationsrechts, 2011, S. 71 (85). 

335 Die öffentliche Stelle kann im Übrigen nach Art. 8 RL 2003/98/EG in Verbindung mit 
RL 2013/37/EU bzw. $4 IWG Nutzungsbestimmungen zur Weiterverwendung vorsehen. 
Siehe Wiebe/Ahnefeld, CR 2015, 199 (204 ff.). Ferner Richter/Süssner-Job, Öffentlich- oder 
zivilrechtliche Ausgestaltung der Informationsordnung — am Beispiel des Zugangs zu und 
der Weiterverwendung von staatlichen Informationen, in: Dreier/Fischer/van Raay/Spiecker 
gen. Döhmann (Hrsg.), Informationen der öffentlichen Hand — Zugang und Nutzung, 2016, 
S. 297 (297 £f.). 
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gänglich und können zu eigenen Zwecken weiterverarbeitet werden. Der vor- 
aussetzungslose Informationszugang erfolgt gerade ohne Begründung. Die zur 
Verfügung gestellten Informationen können auch ihrerseits veröffentlicht wer- 
den. Allenfalls in der Abwägung vor Gewährung des Informationszugangs 
kann die Behörde berücksichtigen, dass mit der Herausgabe von Informationen 
nicht nur über eine individuelle, sondern auch über die allgemeine Offenbarung 
entschieden wird.” Für die gewerbliche Weiterverwendung kommt es außer- 
dem nicht etwa darauf an, ob die Behörde Innovationspotenzial auf Märkten 
sieht. Es ist Sache des Antragsstellers, die Informationen zu veredeln und kom- 
merziell zu verwenden.” 


3. Maschinenlesbare Bereitstellung von Daten 


Auch wenn zugänglich gemachte Informationen im Einzelfall nicht die Qualität 
aufweisen, die für die Erfüllung des hinter dem Zugangsanspruch verfolgten 
Zwecks erforderlich ist, kann es zumindest wünschenswert sein, den Zugang zu 
den Informationen in einer Art und Weise zu erhalten, die es ermöglicht, das 
Wertschöpfungspotenzial öffentlicher Daten durch Informationstechnik tat- 
sächlich zu realisieren Für den Einsatz von Informationstechnik, etwa in der 
Interpretation von Informationen, ist es erforderlich, dass die Daten maschinen- 
lesbar sind. 

Hinsichtlich der Form des Informationszugangs ergibt sich aus $ 7 Abs. 3 S. 1 
IFG, dass Auskünfte auch elektronisch erteilt werden können. Auch wenn sich 
die Vorschrift nicht nur auf Auskünfte, sondern ebenso auf sonstige Arten des 
Informationszugangs bezieht,’ ergibt sich aus ihr noch nicht, dass Informatio- 
nen maschinenlesbar bereitzustellen sind. Die Gesetzesbegründung verweist 
auf $ 3a VwVfG,?? weshalb darauf geschlossen werden kann, dass es $ 7 Abs. 3 
S. 1 IFG nicht vorrangig auf die Maschinenlesbarkeit ankommt, sondern darauf, 
dass auch Zugang zu elektronischen Dokumenten gewährt werden kann. 

Anforderungen für das Offenlegen von Daten sind hingegen im E-Govern- 
ment-Gesetz des Bundes (EGovG) vorgesehen. Das Gesetz dient nicht vorran- 
gig der Öffnung der Verwaltung, sondern der Verwaltungsmodernisierung.°* 
Nach $ 12 Abs. 1 EGovG sind die Behörden des Bundes verpflichtet, grundsätz- 


36 Rossi, Informationszugangsfreiheit und Verfassungsrecht, 2004, S. 166 ff. 

37 Eifert, Staatliche Informationsinfrastrukturen — Organisation im gegliederten Verwal- 
tungsraum und private Weiterverwendung von Verwaltungsinformationen, in: Lipowicz/ 
Schneider (Hrsg.), Perspektiven des deutschen, polnischen und europäischen Informations- 
rechts, 2011, S. 71 (84£.). 

38 Sicko, in: BeckOK IMR, IFG, 14. Edition 2016, § 7 Rn. 62. 

339 BT-Drs. 15/4493, S. 15. 

340 Dazu Lederer, Open Data, 2015, S. 103. 
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lich maschinenlesbare Formate zu verwenden, wenn Daten über öffentlich zu- 
gängliche Netze zur Verfügung gestellt werden, an denen ein Nutzungsinteres- 
se, insbesondere ein Weiterverwendungsinteresse im Sinne des IWG, zu erwar- 
ten ist. Ein Format ist nach $ 12 Abs. 1 S. 2 EGovG maschinenlesbar, wenn die 
enthaltenen Daten durch Software automatisch ausgelesen und verarbeitet wer- 
den können. Bei der Vorgabe handelt es sich um einen Mindeststandard, Rege- 
lungen in anderen Rechtsvorschriften über andere technische Formate gehen 
nach $ 12 Abs. 3 EGovG vor, soweit sie die Maschinenlesbarkeit gewährleisten. 

Die Gewährleistung der Maschinenlesbarkeit ist eine Verfahrens- bzw. Orga- 
nisationsvorgabe.”*' Auch durch $ 12 Abs. 1 S. 1 EGovG wird keine Veröffent- 
lichungspflicht begründet. Sinn und Zweck der Vorschrift ist gleichwohl die 
möglichst weitreichende Weiterverwendung frei zugänglicher amtlicher Infor- 
mationen." Die allgemeinen und fachspezifischen Schranken für die Veröf- 
fentlichung von Daten bleiben daher gemäß $ 12 Abs. 5 EGovG unberührt.’* 

Mit $ 12 EGovG besteht damit für NIS-Behörden eine Bestimmung, aus der 
sich ergibt, dass die veröffentlichen Daten maschinenlesbar bereitzustellen sind. 
Sie bezieht sich allerdings nicht auf Informationen, die auf Grundlage eines 
Informationszugangsanspruchs bereitgestellt werden, sondern nur auf solche, 
die freiwillig im Internet veröffentlicht werden. Als praktischer Anwendungs- 
fall kommt hier in Betracht, zu veröffentlichende Sicherheitsvorfälle in maschi- 
nenlesbarem Format bereitzustellen.” 

Zu den Modalitäten der Bereitstellung der Informationen enthält daneben das 
Weiterverwendungsrecht Bestimmungen. Art. 5 Abs. 1 RL 2013/37/EU schreibt 
fest, dass Informationen in allen verfügbaren ($ 3 Abs. 2 S. 1 IWG: „angefrag- 
ten“) Formaten und Sprachen, in denen sie bei der öffentlichen Stelle vorliegen, 
zur Weiterverwendung zur Verfügung zu stellen sind. Soweit möglich und sinn- 
voll, sind sie im offenen und maschinenlesbaren Format zusammen mit den 
zugehörigen Metadaten zur Verfügung zu stellen. § 2 Nr. 5 und 6 IWG definiert 
genauer, was unter offenem Format und maschinenlesbarem Standard zu ver- 
stehen ist. Die Bestimmung der Maschinenlesbarkeit entspricht der in $ 12 
Abs. 1 EGovG. 


341 Habammer/Denkhaus, MMR 2013, 358 (360). 

342 Schoch, IFG, 2. Aufl. 2016, Einl. Rn. 321. 

33 Roßnagel, NJW 2013, 2710 (2713). 

344 Nach Erwägungsgrund 40 NIS-RL wird außerdem das Sekretariat des CSIRTs-Netz- 
werks aufgefordert, eine Webseite zu unterhalten, auf der allgemeine Informationen über 
größere in der Union aufgetretene Sicherheitsvorfälle mit einem besonderen Schwerpunkt 
auf den Interessen und dem Bedarf von Unternehmen der allgemeinen Öffentlichkeit zur 
Verfügung gestellt werden. 
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Die Verpflichtung der Bereitstellung der Informationen ist aber anders als im 
Anwendungsbereich von $ 12 Abs. 1 EGovG auf das Zumutbare beschränkt. 
Nach $3 Abs.2 IWG sind die Informationen entsprechend bereitzustellen, 
wenn damit für die öffentliche Stelle kein unverhältnismäßiger Aufwand ver- 
bunden ist. Im Übrigen stellt Art. 5 Abs. 2 RL 2013/37/EU klar, dass eine an- 
sonsten nicht gebotene fortlaufende Erstellung oder Speicherung von Doku- 
menten allein zum Zwecke der Weiterverwendung nicht gefordert ist. 

Im Ergebnis ist damit rechtlich indiziert, dass zugängliche Informationen 
maschinenlesbar bereitzustellen sind. Nach $ 12 Abs. 1 EGovG gilt dies zwar 
nur für freiwillig von der Behörde im Internet veröffentlichte Informationen. 
Aus § 3 Abs. 2 S. 1 IWG ergibt sich dies aber grundsätzlich für weiterverwend- 
bare Informationen im Rahmen des der Behörde zumutbaren Aufwands. 


D. Zwischenergebnis 


Die Untersuchung der staatlichen Distribution von Informationen mit einem Be- 
zug zur Internetsicherheit wird im Ausgangspunkt durch den Befund ausgelöst, 
dass die öffentlichen Stellen durch die zahlreichen Informationserhebungsinst- 
rumente über eine wachsende Datenbasis verfügen und die Weitergabe der vor- 
handenen Informationen einen Beitrag zur Internetsicherheit leisten kann. 

Auch für die Sicherheitsgewährleistung kann das Konzept der Offenheit des 
Staates (Open Government Data) herangezogen werden, das nicht lediglich ein 
demokratietheoretisches Wohlwollen ausdrückt, sondern den grundrechtlich 
verankerten Schutzauftrag der Informationsvorsorge im Vorfeld rechtlicher 
Mechanismen zur Gefahrenabwehr zu erfüllen bezweckt und das Wertschöp- 
fungspotenzial frei verwendbarer Informationen, das insofern auch bei sicher- 
heitsbezogenen Informationen besteht, berücksichtigt. Die Betrachtung des 
Transparenzgedankens in der Debatte um freie Software oder in der sog. Krypto- 
kontroverse macht deutlich, dass das allgemeine Zurückhalten von sicherheits- 
bezogenen Informationen (security through obscurity) nicht von vorneherein eine 
höhere Sicherheit verspricht und insofern Informationsdistribution einen Beitrag 
zur Sicherheitsgewährleistung zu leisten vermag (security by transparency). 

Ein sicherheitsspezifischer Mehrwert kann dabei zum einen durch aktives 
staatliches Informationshandeln, das auf bestimmte Verhaltensreaktionen beim 
Adressaten zielt, erreicht werden, und zum anderen durch reaktives Informa- 
tionshandeln in Form des antragsbasierten Zugangs zu den von NIS-Behörden 
generierten Informationen und deren Weiterverwendung durch Private. 

Aktives staatliches Informationshandeln setzt im grundrechtssensiblen Be- 
reich grundsätzlich eine Rechtsgrundlage voraus. Das BSI als zentrale NIS-Be- 
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hörde verfügt indes über keine allgemeine Rechtsgrundlage, die grundrechts- 
sensible Öffentlichkeitsinformationen erlaubt. 

Die öffentlichkeitsbezogene Information kann auf Grundlage verschiedener 
Regelungen erfolgen, die entsprechend der Zielrichtung des Informationshan- 
delns unterschieden werden können. 

Der Wissensvermittlung durch Aufklärung der Öffentlichkeit über Sicher- 
heitsprobleme dienen die Berichte des BSI und der Bundesnetzagentur. Soweit 
die Berichte der Datenschutzbehörden die Datensicherheit betreffen, dienen 
auch sie der Aufklärung. Die Berichtspflichten sind aufgrund ihrer kalenda- 
rischen Zyklen zwar nicht geeignet, proaktiv Einzelfallinformationen über ak- 
tuelle Sicherheitslagen zu veröffentlichen, gleichwohl kann durch Berichte für 
Risiken und Gefahren sensibilisiert werden. Die Datenschutzbehörden können 
sich zu diesem Zweck von sich aus zu jeder Frage mit einer Stellungnahme an 
die Öffentlichkeit richten. 

Die Veröffentlichung von Informationen über konkrete Sicherheitsvorfälle ist 
für die Herstellung des Problembewusstseins von besonderer Bedeutung. Für 
Sicherheitsvorfälle bei Telekommunikationsnetzbetreibern und -diensteanbie- 
tern besteht eine Informationsbefugnis der Bundesnetzagentur, mit Blick auf 
Anbieter digitaler Dienste und Betreiber kritischer Infrastrukturen besteht sei- 
tens des Gesetzgebers Umsetzungsbedarf. Die mitgliedstaatlichen NIS-Behör- 
den müssen die Öffentlichkeit über einzelne Sicherheitsvorfälle in digitalen 
Diensten oder kritischen Infrastrukturen zur Sensibilisierung, Verhütung oder 
Bewältigung von Sicherheitsvorfällen nach Anhörung der Anbieter und Betrei- 
ber unterrichten dürfen (Art. 14 Abs. 6 bzw. Art. 16 Abs. 7 NIS-Richtlinie). Die 
bestehenden Rechtsgrundlagen bilden diese unionsrechtliche Erlaubnis nicht 
ab. Perspektivisch erscheint es sinnvoll, die Informationen über Sicherheitsvor- 
fälle aus allen Mitgliedstaaten auf europäischer Ebene zu aggregieren und zen- 
tral zu publizieren. Bei Sicherheitsvorfällen, die den Schutz personenbezogener 
Daten betreffen, erfolgt die Information nicht durch die Behörde, sondern 
grundsätzlich durch die datenschutzrechtlich Verantwortlichen. Die Informa- 
tion der Öffentlichkeit dient hier im Übrigen vorrangig dazu, den Betroffenen 
zu erreichen, wenn eine direkte Benachrichtigung mit einem unverhältnismäßi- 
gen Aufwand verbunden wäre. Als Defizit zu bewerten ist, dass dieser Modus 
der Publikumsinformation für Telekommunikationsunternehmen von vorn- 
herein nicht besteht. 

Eher für den Markt von IT-Sicherheitsprodukten und Dienstleistungen von 
Bedeutung sind die Veröffentlichung der Sicherheitskataloge für Telekommuni- 
kationsunternehmen und der Erkenntnisse aus Untersuchen von IT-Produkten 
und -systemen. Für die Anbieter von Sicherheitstechnik im Telekommunikati- 
onsbereich wird eine gewisse Transparenz hinsichtlich der Sicherheitserforder- 
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nisse geschaffen. Über die Sicherheit von auf dem Markt bereitgestellter oder 
zur Bereitstellung vorgesehener Produkte können Hersteller, Vertreiber oder 
Anwender informiert werden. Die Veröffentlichung von Produktinformationen 
ist zwar nicht unionsrechtlich induziert, kann sich aber an ein europäisches Pu- 
blikum richten. 

Von besonderer Relevanz ist die Warn- und Empfehlungsbefugnis des BSI. 
Am Beispiel der Warnung vor Sicherheitslücken kann die Janusköpfigkeit von 
sicherheitsrelevanten Informationen verdeutlicht werden. Die Veröffentlichung 
von Informationen über Sicherheitslücken bewegt sich zwischen dem Ideal der 
Publizität und den Interessen der weiteren Sicherheitsbehörden. Sie dient grund- 
sätzlich dazu, dass Unternehmen und Bürger rechtzeitig eigene Schutzmaßnah- 
men ergreifen. Gleichwohl können so bekannt gewordene Schwachstellen auch 
durch Angreifer ausgenutzt werden. Überdies können Sicherheitsbehörden ein 
Interesse daran haben, dass sog. Zero-Day-Exploits nicht bekannt werden, da- 
mit eigene Operationen nicht gefährdet werden. Als ermessensleitende Strate- 
gie bietet sich demnach die verantwortungsbewusste Veröffentlichung (Respon- 
sible Disclosure) an, nach der Sicherheitslücken nicht pauschal mit einer kurz- 
fristigen Notifizierung der Unternehmen veröffentlich werden, sondern in 
jedem Einzelfall geprüft wird, mit welchen Gefahren eine Veröffentlichung 
verbunden ist. Auf Grundlage von $ 7 BSIG lässt sich diese Strategie umsetzen, 
da das Ermessen des BSI nicht gebunden ist. Im Falle einer Veröffentlichung 
oder Empfehlung haben die Behörden der möglichen Gefahr vorzubeugen, dass 
das Informationshandeln zu eigendynamischen Verstärkereffekten führt und an 
die Stelle von Aufklärung ein edukatorisches oder durch bestimmte Pro- 
duktempfehlungen ein wirtschaftslenkendes Staatshandeln tritt, welches mit 
unabsehbaren Übertragungseffekten (Spill-over-Effekten) verbunden ist. Zu 
fordern ist hier insbesondere die Berücksichtigung gesicherter verhaltenswis- 
senschaftlicher Erkenntnisse. 

Von besonderer praktischer Bedeutung sind die individualbezogenen Infor- 
mationen. Die Befugnis, Informationen gezielt an die Betreiber kritischer Infra- 
strukturen weiterzugeben, schließt den Kreislauf gemeldeter Informationen und 
trägt so zur Rechtfertigung von Meldepflichten bei. Die über die Meldepflichten 
generierten Daten werden mit Betreibern kritischer Infrastrukturen, die nicht 
Urheber der Meldung sind, geteilt. Auf diese Weise können Betreiber aus dem 
System der Meldepflichten für sich einen konkreten Nutzen ziehen, wodurch 
insgesamt ein stärkerer Anreiz zur Erfüllung der Meldepflichten geschaffen 
wird. Das BSI bedient sich zur Bereitstellung individualbezogener Information 
sinnvoller informeller Plattformen. Hinsichtlich des die NIS-Behörden ergän- 
zenden Informationshandelns der Datenschutzbehörden ist die Benachrichti- 
gung des Betroffenen von einer Datenschutzverletzung nicht vorgesehen. Eine 
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bestehende Regelung dazu wie im deutschen Recht hätte aber Bestand. Darüber 
hinaus ist die Datenschutzbehörde zu Sensibilisierungs- und Beratungsleistun- 
gen verpflichtet, die auch Fragen der Datensicherheit betreffen können. Die 
Praktikabilität dieser Pflichten ist aber bereits angesichts der behördlichen Res- 
sourcen zweifelhaft. 

Das reaktive Informationshandeln ist die zweite Säule der Informationsdistri- 
bution. Der Informationszugangsanspruch ist im europäischen Primärrecht 
stärker als im Grundgesetz angelegt. Mangels einer harmonisierenden, be- 
reichsspezifischen Unionsregelung des Informationszugangs, ist hinsichtlich 
des Zugangs zu europäischen und nationalen NIS-Stellen zu unterscheiden. Auf 
europäischer Ebene besteht lediglich für die ENISA eine Zugangsregelung, die 
auf die Transparenz-Verordnung verweist. Eine Grundlage für den Zugang zu 
Informationen des CSIRTs-Netzwerk oder der Kooperationsgruppe besteht 
nicht. Bedeutung und Nutzen der Auskunftsverlangen hinsichtlich der beim 
BSI und der Bundesnetzagentur vorhandenen Informationen über die Sicherheit 
kritischer Infrastrukturen bleiben allerdings aufgrund der nur unzureichend 
ausgestalteten Pauschalabwägung des Gesetzgebers begrenzt, da die Betreiber- 
interessen grundsätzlich vorgehen, selbst dann, wenn das Interesse des Antrag- 
stellers gewichtig und das einer Auskunft entgegenstehende Interesse nur ge- 
ring ist. Der Zugang zu Akten in diesen Angelegenheiten ist gänzlich ausge- 
schlossen. Damit werden Anfragen gar nicht erst geprüft, obwohl sie für den 
Anfragenden oder die Öffentlichkeit von grundsätzlicher und hoher Bedeutung 
sein können und im allgemeinen Informationszugangsrecht ein differenziertes 
System an Ausnahmetatbeständen besteht, das eine einzelfallgerechte Entschei- 
dung ermöglicht. Außerhalb der Ansprüche im Zusammenhang mit kritischen 
Infrastrukturen zeigt die Praxis aber, dass Zugangsanfragen häufig entsprochen 
wird. 

Sind NIS-Informationen zugänglich, können sie grundsätzlich weiterver- 
wendet werden, durchaus auch zu kommerziellen Zwecken. Die freie Weiter- 
verwendung leistet insofern einen Beitrag zur Gewährleistung der Internet- 
sicherheit, die durch Rekombination und Veredelung von Informationen zur 
Weiterentwicklung bestehender und Entwicklung innovativer und besserer 
Sicherheitsprodukte und Dienstleistungen führen kann. 

Im Kern besteht damit spätestens seit den Novellierungen durch das IT- 
Sicherheitsgesetz ein Regelungsbestand, der als IT-Informationsrecht bezeich- 
net werden kann. Die Regeln zur Distribution staatlichen Wissens ergänzen die 
Vorgaben der Informationspflichten, die Unternehmen vor allem bei Daten- und 
Sicherheitsverletzungen treffen und bei denen die Informationsweitergabe 
ebenfalls zwar administrative Aufgabe ist, aufgrund der Nähe zu den Informa- 
tionen aber den Privaten überlassen wird (vgl. $ 109a Abs. 4 TKG). Das IT-In- 


formationsrecht schafft bei den Privaten die Voraussetzungen zum Selbstschutz 
und ist ein Faktor neuer Wertschöpfung in der (Weiter-)Entwicklung von IT- 
Sicherheitsprodukten. 


$ 6 Zusammenfassende Bewertung und Fazit 
Die Gesamtbetrachtung ergibt zusammengefasst folgendes Ergebnis: 


A. Beitrag des Informationsverwaltungsrechts zur Netz- 
und Informationssicherheit 


Ausgangspunkt der Untersuchung war die Überlegung, dass sich das verfas- 
sungsrechtliche Ziel der Union, den Bürgerinnen und Bürgern einen Raum der 
Freiheit, der Sicherheit und des Rechts ohne Binnengrenzen zu bieten, mit Blick 
auf das Internet als Herausforderung darstellt. Nicht zuletzt aufgrund der tech- 
nischen und logischen Komplexität sind Sicherheitsprobleme immanent. Eine 
absolute Sicherheit kann nicht gewährleistet werden. Die Gewährleistung der 
Sicherheit von Netz- und Informationssystemen ist daher als Risikomanage- 
ment zu begreifen. Über die Risiken und Gefahren besteht allerdings eine epis- 
temische Unsicherheit und damit ein Wissensproblem. Das Wissen über die Si- 
cherheit und die Sicherheitsprobleme ist auf verschiedene private Akteure, ins- 
besondere die Infrastrukturbetreiber und Diensteanbieter, dezentral verstreut. 
Die Gewährleistung der Sicherheit durch technische Internetregulierung er- 
scheint von vorneherein wegen der prinzipiell globalen Natur des Internets und 
der damit verbundenen tatsächlichen wie rechtlichen Begrenzungen nicht als 
eine aussichtsreiche Regulierungsstrategie. So wie das Internet keine terra nul- 
lius oder ein herrschaftsfreier Raum ist, ist das Recht in der Sicherheitsgewähr- 
leistung nicht machtlos. 

Da Informationen über die Sicherheit (z.B. die Kenntnis über eine Sicher- 
heitslücke, einen Sicherheitsvorfall oder über neue Angriffsarten) eine zentrale 
Ressource in der Sicherheitsgewährleistung sind, bietet sich als Ansatz der Si- 
cherheitsgewährleistung auf europäischer wie nationaler Ebene Informations- 
verwaltungsrecht an. Es handelt sich dabei um einen Aspekt des Verwaltungs- 
rechts, der auf Informationen als operative Basis der administrativen Entschei- 
dungsfindung und Gegenstand des Verwaltungshandelns verweist. 

Mit einem informationsverwaltungsrechtlichen Fokus auf das Paradigma In- 
formation und Wissen lassen sich die auf Erkenntnisgewinnung (Generierung), 
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informationelle Zusammenarbeit in der Union (Transfer) und Partizipation an 
den generierten Informationen und dem gewonnenen Wissen (Distribution) be- 
zogenen rechtlichen Instrumentarien herausarbeiten. 


I. Erkennung von Gefahren und systemischen Risiken 


Die Informationsgenerierung durch Informationsbeibringungspflichten und In- 
formationsbefugnisse erlaubt es der NIS-Administrative, ein Lagebild über die 
Sicherheit in wesentlichen Internetinfrastrukturen und -diensten zu erstellen 
und entscheidungsrelevantes Wissen zu produzieren. Die Informationsbasis bil- 
det die Voraussetzung für die Wahrnehmung staatlicher Schutzpflichten und die 
Erfüllung der Gewährleistungsverantwortung. Die zentralen Informations- und 
Wissensakteure in der Generierung von Informationen über die Netz- und In- 
formationssicherheit sind die mitgliedstaatlichen NIS-Behörden und auf euro- 
päischer Ebene die Europäische Agentur für Netz- und Informationssicherheit. 
In Deutschland kommt dem Bundesamt für Sicherheit in der Informationstech- 
nik als zentrale Stelle für die Sicherheit in der Informationstechnik kritischer 
Infrastrukturen die zentrale Rolle in der Informationsgenerierung zu. Daneben 
sind die Bundesnetzagentur und die Nachrichtendienste wichtige Akteure im 
Bereich der Netz- und Informationssicherheit. 

Die rechtlichen Instrumente zur Informationsgenerierung sind weitgehend 
unionsrechtlich harmonisiert. Trotz ihrer hohen Bedeutung für die Internetsi- 
cherheit sind Hard- und Softwarehersteller von Informationsbeibringungs- 
pflichten nicht erfasst. Aus epistemischer Sicht scheint deren Einbeziehung in 
den Pflichtenkanon für eine ganzheitliche Sicherheitsbetrachtung geboten. 
Ebenso sollte hinsichtlich der noch nicht abschließend beantworteten Frage 
nach der Regulierung von Over-the-Top-Telekommunikationsdiensten berück- 
sichtigt werden, dass die Anwendbarkeit des Telekommunikationsrechts der 
Schutzpflicht zur Informationsgewinnung und der verfassungsrechtlichen Ge- 
währleistungsverantwortung Rechnung tragen würde. 

Die den NIS-Behörden beizubringenden Sicherheitsnachweise, die Melde- 
pflichten, die Befugnis zur Untersuchung von IT-Produkten und die nachrich- 
tendienstliche Kompetenz zur Untersuchung der Internetdatenverkehre sind 
insgesamt geeignet, systemische Risiken und Gefahren für die Internetsicher- 
heit zu erkennen. Soweit die NIS-Verwaltung in der Wissensgenerierung auf 
verwaltungsexterne Expertise zurückgreift, ist in der Verwaltung ein spezifi- 
sches Meta-Wissen erforderlich, um außeradministratives Wissen erfolgreich 
zu übernehmen. 

Weder gesetzlich ersichtlich noch durch die NIS-Behörden im Wege der wei- 
teren Durchführung besonders konkretisiert ist die technisch-organisatorische 
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Rahmenarchitektur der Informationsgenerierungsprozesse. Die Durchführung 
der Meldepflicht aus $ 109a TKG bei Verletzungen der Datensicherheit ist hier 
paradigmatisch. Die Informationen werden lediglich durch das Ausfüllen einer 
editierbaren PDF-Datei per E-Mail gemeldet. Vor dem Hintergrund des mit der 
Informationsgewinnung verfolgten Zwecks der effektiven Produktion entschei- 
dungsrelevanten Wissens und der relevanten ökonomischen Dimension er- 
scheint die Informationsgenerierung im Bereich der Netz- und Informationssi- 
cherheit insgesamt ausbaubedürftig. Die gemeldeten Informationen werden 
durch die fehlende Zentralisierung meist isoliert voneinander gehandhabt und 
bearbeitet. Der dadurch bei den meldepflichtigen Unternehmen und bei den zu- 
ständigen NIS-Behörden entstehende Mehraufwand führt zu einem Fehlerrisi- 
ko bei der Informationsverwertung. In Ermangelung geeigneter (automatisier- 
ter) Informationssysteme mit hohem Routinegrad im Umgang mit Melde- und 
Informationsflüssen müssen die Informationspflichten manuell erfüllt werden. 
Die dadurch entstehende Erhöhung des Verwaltungsaufwands bindet zusam- 
men mit der Einhaltung sonstiger Compliance-Vorgaben in den verpflichteten 
Unternehmen Ressourcen, was Innovation und Agilität verhindert. Da Angrei- 
fer ohne Beachtung rechtlicher Vorgaben agieren und nur die real existierenden 
Schwachstellen in den Fokus nehmen, scheint vor diesem Hintergrund die Ent- 
wicklung und Realisierung von Verfahren und Standards für eine vernetzte und 
übergreifende Architektur geboten, die den sicheren Datenaustausch zwischen 
den meldepflichtigen Unternehmen und der Verwaltung effektiviert. Die Unter- 
suchung der durch den Schutz personenbezogener wie unternehmensbezogener 
Daten gezogenen Grenzen zeigt, dass dem Aufbau einer serviceorientierten Ar- 
chitektur (SOA)! grundsätzlich keine rechtlich durchgreifenden Bedenken ent- 
gegenstehen. Der im Nationalen Cyber-Abwehrzentrum verfolgte Ansatz, In- 
formationen verschiedener Sicherheitsbehörden unter einem Dach zu fusionie- 
ren, weist hinsichtlich der Erkenntnisgewinnung in die richtige Richtung. 


II. Europäisierte Informationskooperation auf Vertrauensbasis 


Die informationelle Zusammenarbeit auf nationaler, aber insbesondere auch auf 
europäischer Ebene ist für die Sicherheitsgewährleistung von besonderer Be- 
deutung. Aufgrund der NIS-Richtlinie sind auf europäischer Ebene die Voraus- 
setzungen sowohl für eine strategische als auch für die operative Kooperation 
geschaffen. Die verfahrensrechtliche Ausgestaltung deckt die relevanten Berei- 


! Unter einer serviceorientierten Architektur wird in der Informationstechnik ein Archi- 
tekturmuster aus dem Bereich der verteilten Systeme verstanden, dessen Funktion es ist, 
Dienste und Einzelaufgaben zu koordinieren und so Leistungen zu höheren Diensten zusam- 
menzufassen und anderen Organisationsabteilungen zur Verfügung zu stellen. 
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che des Risikomanagements im Bereich der Sicherheitsgewährleistung ab. Sie 
ist darauf angelegt, Informationen und Wissen in expliziter und impliziter Form 
zur Prävention und Detektion von Sicherheitsrisiken und -vorfällen und zur Re- 
aktion auf dieselben auszutauschen. 

Der zum großen Teil reflexiv organisierte Wissensaustausch trägt der Er- 
kenntnis Rechnung, dass die bloße Übermittlung einer Nachricht im Sinne des 
information sharing noch keine Zusammenarbeit im bezweckten Sinne dar- 
stellt. Grenzüberschreitende Übungen der Reaktion auf Sicherheitsvorfälle bei- 
spielsweise erlauben den Austausch impliziten Wissens und die erforderliche 
Harmonisierung einer gemeinsamen Kontextualisierung von Informationen. 
Die durch horizontale und vertikale Informationsbeziehungen möglichen ge- 
genseitigen Beobachtungen lassen die europäische NIS-Kooperation insgesamt 
als Lernverbund erscheinen, der zum Kapazitätenaufbau beiträgt und die Unzu- 
länglichkeit der Mitgliedstaaten zu einem nicht unerheblichen Teil kompensiert. 
Insgesamt sind die Verfahrens- und Organisationsstrukturen geeignet, zur Bil- 
dung einer europäischen Wissensgemeinschaft (epistemic community) beizutra- 
gen und jene Beschränkungen partiell aufzuheben, die aufgrund der begrenzten 
Rationalität (bounded rationality) entstehen und Individuen wie Organisatio- 
nen, d.h. hier die mitgliedstaatlichen NIS-Akteure, auf eine selektive Berück- 
sichtigung vorhandener Informationen festlegen. Die zentrale Leistung der in- 
formationsverwaltungsrechtlichen Strukturen besteht darin, den Aufbau not- 
wendigen Vertrauens unter den europäischen NIS-Akteuren durch die Schaffung 
einer erwartungsstabilisierenden Informationsordnung zu fördern. 

Eine effektive europäische Systemaufsicht ermöglicht das europäische 
NIS-Verwaltungsrecht indes nicht. Eine aktive und zentralisierte Aggregation 
der in den Mitgliedstaaten gesammelten Informationen dergestalt, dass ähnlich 
dem nationalen Ansatz ein europäisches Lagebild über die Sicherheit geschaf- 
fen wird, ist rechtlich nicht vorgesehen. Das europäische Ganze im Bereich der 
Netz- und Informationssicherheit ist insgesamt noch nicht mehr als die Summe 
seiner mitgliedstaatlichen Teile. Solange eine effiziente Agentur für europäi- 
sche Probleme in der Gewährleistung der Netz- und Informationssicherheit, die 
Informationen auf einer höheren Ebene verwerten kann, nicht etabliert ist, mag 
die Sorge um das Ganze begründet bleiben. Die in der NIS-Richtlinie angelegte 
Struktur der NIS-Kooperation bewirkt jedoch, dass aus dem gemeinsamen 
Handeln der Mitgliedstaaten Synergie statt Paralyse entstehen kann. Dass pers- 
pektivisch der Aufbau eines dichter integrierten NIS-Informationssystems au- 
Berhalb der binnenmarktrechtlichen Harmonisierungskompetenz unter dem 
Vertrag von Lissabon nicht ausgeschlossen ist, macht Art. 83 Abs. 2 lit. aAEUV 
deutlich, der es dem Unionsgesetzgeber erlaubt, das Einholen, Speichern, Ver- 
arbeiten, Analysieren und Austauschen sachdienlicher Informationen zu regeln, 
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wobei der dort genannte Zweck der polizeilichen Zusammenarbeit weit verstan- 
den werden kann und informationsverwaltungsrechtliche Regelungen im Vor- 
feld polizeilicher Gefahren nicht von vorneherein ausschließt. Die ENISA, die 
im Rahmen der strategischen Kooperation eine im Wesentlichen unterstützende 
Funktion einnimmt, könnte in einer stärker operativ ausgerichteten Zusammen- 
arbeit die Rolle als zentrale Stelle für die Netz- und Informationssicherheit in 
der Union einnehmen. 

Die operative Bewältigung von grenzüberschreitenden Sicherheitsvorfällen 
ist daher maßgeblich auf bilaterale horizontale Informationsbeziehungen ange- 
wiesen. Der Austausch sicherheitskritischer Informationen beruht zu einem 
maßgeblichen Teil auf Freiwilligkeit. Eine Symmetrie von Problemen und Lö- 
sungen besteht im Ergebnis auf europäischer Ebene nicht. 

Mit der Internationalisierung der Technologie nimmt im europäischen Kon- 
text die Bedeutung des Informationsaustausches weiter zu. Das Schaffen ver- 
trauensfördernder Voraussetzungen sollte perspektivisch den Wechsel vom 
Prinzip, einen Kommunikationspartner nur bei Bedarf in Kenntnis zu setzen 
(Need-to-know-Prinzip), zum Informationsaustauschparadigma (Need-to-sha- 
re-Prinzip) bewirken. Gerade für IT-Sicherheitslücken, die nicht allen an der 
Informationskooperation Teilnehmenden bekannt sind, wäre eine Informations- 
pflicht erforderlich, soweit das Wissen um die Schwachstelle diese beheben 
könnte. Jede nicht im europäischen Kooperationsnetz geteilte Information, de- 
rer es aber in anderen Mitgliedstaaten bedarf, führt zu einer ineffektiven Res- 
sourcennutzung, weil sie in den Mitgliedstaaten ggf. parallel gewonnen und 
ausgewertet wird. Damit einher geht die Gefahr, dass bei nicht koordinierten 
Reaktionen, etwa bei Frühwarnungen, die Gefahren abweichend eingeschätzt 
werden. Darüber hinaus kann es bei unterschiedlichen Sicherheitsniveaus in 
den Mitgliedstaaten zu nicht intendierten Wettbewerbsverzerrungen im Bin- 
nenmarkt kommen. 

Eine Herausforderung im europäischen Wissensmanagement wird ferner da- 
rin liegen, neben dem Austausch von Datenbeständen den Austausch von impli- 
zitem Wissen, d.h. von solchem Wissen, das lokal besteht und personal vermit- 
telt wird und nicht einfach artikuliert werden kann, weiterzuentwickeln. Eine 
Verdichtung der Kooperation im Bereich der Netz- und Informationssicherheit, 
etwa in Form eines kontinuierlichen Informationsaustausches in Echtzeit, ist 
auf Grundlage des Vertrags von Lissabon grundsätzlich möglich. Die effektive 
Durchführung des Unionsrechts ist von gemeinsamem Interesse. Der für die 
„Verbesserung der Fähigkeiten der Verwaltung“ in Art. 197 Abs. 2 AEUV aus- 
drücklich vorgesehene Austausch von Informationen und von Beamten kann 
dafür als programmatisch verstanden werden. 


390 $ 6 Zusammenfassende Bewertung und Fazit 


III. Zugang zu und freie Weiterverwendung von 
generierten Informationen und produziertem Wissen als Teil 
der Sicherheitsgewährleistung 


Die Distribution von Informationen ist die Reaktion auf die gestiegene gesell- 
schaftliche Relevanz von Wissen. Der Beitrag des Informationsverwaltungs- 
rechts liegt hier nicht in der Ermöglichung demokratischer Teilhabe, sondern in 
der Gewährleistung der Internetsicherheit durch Bewusstseinsbildung (aware- 
ness raising) bei Nutzern und Anwendern hinsichtlich allgemeiner Sicherheits- 
probleme durch aktive Information der Öffentlichkeit oder betroffener Kreise. 
Soweit es die Veröffentlichung von konkreten Sicherheitsvorfällen ermöglicht, 
wird damit ein zentrales Problem der Gewährleistung der Netz- und Informati- 
onssicherheit adressiert. Die Öffentlichkeit kann durch die Publikation von Si- 
cherheitsvorfällen überhaupt erst in die Lage versetzt werden, sich ein näher an 
der Wirklichkeit ausgerichtetes Bild von den bestehenden Sicherheitsproblemen 
zu machen und politischen Handlungsbedarf zu identifizieren. 

An der Handlungsform der Warnung lässt sich das grundlegende Problem der 
Veröffentlichung sicherheitskritischer Informationen darstellen. Der Informati- 
onsdistribution liegt aufgrund der Doppelnatur von sicherheitsbezogenen Infor- 
mationen ein Spannungsverhältnis zwischen Transparenz und Geheimhaltung 
zugrunde. Die Warnung vor Sicherheitslücken etwa kann dem Schutz vor Cyber- 
gefahren dienen, zugleich aber den Missbrauch durch Angreifer begünstigen. 
Offenheit als informationsverwaltungsrechtliches Mittel zur Gewährleistung 
der Internetsicherheit ist zwar nicht von vorneherein ausgeschlossen und nicht 
unsicherer als der Ansatz pauschaler behördlicher Geheimhaltung (security 
through obscurity). Geheimhaltung ist jedoch dort sinnvoll, wo die Distribution 
im Sinne einer Publikumsinformation kontraproduktiv wäre. Die Responsible 
Disclosure als die verantwortungsvolle Veröffentlichung sicherheitskritischer 
Information in Form von Vorabinformationen der durch die Veröffentlichung 
unmittelbar Betroffenen steht für eine angemessene Strategie im Umgang mit 
der Janusköpfigkeit sicherheitskritischer Informationen. 

Ein behutsames Informationshandeln ist auch beim Ausspruch von Empfeh- 
lungen einzufordern. Mit staatlicher Autorität ausgesprochene Empfehlungen 
können wirksame Steuerungseffekte hinsichtlich des Verbraucherverhaltens in 
Bezug auf IT-Produkte bewirken. Mit ihnen können aber auch nicht intendierte 
Spill-over-Effekte bewirkt werden. Staatliches Informationshandeln muss da- 
her vor allem risikobezogene Informationen möglichst unter Berücksichtigung 
gesicherter verhaltenswissenschaftlicher Erkenntnisse darstellen. 

Der Zugang zum Informationsbestand der Verwaltung ermöglicht grundsätz- 
lich die Partizipation nicht am Verfahren beteiligter Interessierter. Da die Ver- 
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waltung Informationen ohne Richtigkeitsgewähr und Aufbereitungspflicht wei- 
tergeben kann, kommt ihr hier die Rolle eines Informationsintermediärs zu. Für 
die europäische Ebene ist hier jedoch für einen Zugang zu Informationen zu 
allen NIS-Stellen auf den Gesetzgebungsauftrag des Art. 15 Abs. 3 AEUV zu 
verweisen. Für eine nicht nur von der ENISA ausgehende Informationsdistri- 
bution, für die eine Zugangsregelung besteht, ist eine sekundärrechtliche Aus- 
gestaltung der Informationsfreiheit erforderlich, die den Zugangsanspruch ent- 
sprechend dem primärrechtlich vorgesehenen Kreis der Verpflichteten auf sämt- 
liche NIS-Stellen erweitert. Aufgrund der weitreichenden besonderen und 
allgemeinen Reichweitenverkürzungen und Ausnahmen vom Zugang zu NIS- 
Informationen bleibt das kognitive und wirtschaftliche Potenzial der Informa- 
tionsdistribution solange verkürzt, wie sich nicht die Einsicht Bahn gebrochen 
hat, dass die Öffnung der Verwaltung und der Zugang zu sicherheitsbezogenen 
Informationen Teil der Problemlösung in der Gewährleistung der Internet- 
sicherheit ist. 

Um die eruptive Kraft, die zugänglichen und wirtschaftlich weiterverwend- 
baren NIS-Informationen innewohnt, entfalten zu können, sind Anforderungen 
an die interne Informationsorganisation der NIS-Verwaltung, auch wenn sie 
nicht unmittelbar rechtlich vorgegeben wird, zu stellen. Die verwaltungsinterne 
Perspektive auf Vorgänge (in Akten) muss erweitert werden um die ergebnis- 
orientierte Perspektive, dass Informationen Gegenstand des verwaltungsexter- 
nen Zugriffs sein können und sollten. Die strukturierten, formalisierten und 
informalen Informations- und Wissensbestände sollten von vorneherein inhalt- 
lich so aufbereitet werden, dass sie leicht, rasch und in für maschinelle Verar- 
beitung geeigneter Form zugänglich gemacht und technisch-organisatorische 
Maßnahmen zum Schutz von Gegenrechten ergriffen werden können. 


B. Intelligente Datenverarbeitung und Operationalisierung 
von Nichtwissen 


Die untersuchten informationellen und kognitiven Regelungsstrukturen der Ad- 
ministrative bilden bei einer Gesamtbetrachtung eine Informationsordnung, die 
eine Risikoerkennung und Wissensproduktion prinzipiell ermöglicht und die 
daher einen Beitrag zur Bewältigung der Komplexitäts- und Wissensprobleme, 
welche der Gewährleistung der Sicherheit von Netz- und Informationssystemen 
inhärent sind, leisten kann. Die rechtlichen Instrumente zur Wissensgenerie- 
rung, wie etwa die Meldepflichten, dienen dazu, aus Sicherheitsvorfällen, die in 
der Vergangenheit liegen, zu lernen, um zukünftig auf ähnlich gelagerte An- 
griffe und sonstige Sicherheitsvorfälle vorbereitet zu sein und diesen mit weiter- 
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entwickelten Abwehrstrategien wirksam zu begegnen. Daraus folgt für das 
Informationsverwaltungsrechts der NIS-Verwaltung die besondere Aufgabe, 
neuartige Informationsquellen (z.B. Sensorik in den Netzen), technische Wei- 
terentwicklungen sowie Datenverarbeitungs- und Kommunikationsmedien zu 
rezipieren. Konkret bedeutet dies vor allem den Übergang zur intelligenten Da- 
tenverarbeitung, die nicht lediglich durch die quantitative Steigerung der verar- 
beiteten Datenmenge, sondern durch ein spezifisches Rückkopplungsverhältnis 
von Technik und Inhalt charakterisiert ist. „Es ist nicht mehr wie in der Vergan- 
genheit zu unterstellen, dass das technische System invariant ist und seine Form 
der Verwaltung der Inhalte aufprägt, vielmehr wird die Form sehr viel stärker 
durchlässig für die von den Inhalten vorgegebenen Bedingungen.‘ 

Zuletzt ist neben der Produktion, dem Austausch und der Weitergabe von 
Wissen eine Operationalisierung von Nichtwissen und Ungewissheit erforder- 
lich. Die Produktion von Wissen bringt als Kehrseite immer auch Unwissen und 
mithin Ungewissheit und folglich Unsicherheit mit sich.” Ungewissheit muss als 
Gewissheit berücksichtigt werden, die nicht durch zusätzliches Wissen aufgeho- 
ben wird. Mit dem Nichtwissen ist als bekannte Variable zu operieren.’ Analy- 
sen aus beobachteten Daten dürfen daher zum einen nicht überbewertet und das 
Auftreten kontingenter Imponderabilien darf zum anderen nicht unterschätzt 
werden. Auch mit ausdifferenzierten informationsverwaltungsrechtlichen In- 
strumenten bedarf es neben der erforderlichen Risikoerkenntnis und Wis- 
sensproduktion einer Strategie für den Umgang mit der Gewissheit von Unge- 
wissheit und für Handeln unter Bedingungen des Nichtwissens.® „Es sollte aber 


2 Ladeur, Die Kommunikationsinfrastruktur der Verwaltung, in: Hoffmann-Riem/ 
Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Band II, 2. Aufl. 
2012, § 21 Rn. 89. 

3 Pointiert Luhmann, Soziologie des Risikos, 1991, S. 37: „Je mehr man weiß, desto mehr 
weiß man, was man nicht weiß, und desto eher bildet sich ein Risikobewußtsein aus.“ 

4 Augsberg, Informationsverwaltungsrecht, 2014, S. 237 ff.; Hofmann-Riem, Verwaltungs- 
recht in der Informationsgesellschaft — Einleitende Problemskizze, in: Hoffmann-Riem/ 
Schmidt-Aßmann (Hrsg.), Verwaltungsrecht in der Informationsgesellschaft, 2000, S. 9 (13). 

5 Dass ein vollständiger Informationsstand über Sachverhalte (z.B. Marktsituation) nicht 
erreicht werden kann, beschreibt Zadeur, Privatisierung öffentlicher Aufgaben und die Not- 
wendigkeit der Entwicklung eines neuen Informationsverwaltungsrechts, in: Hoffmann- 
Riem/Schmidt-Aßmann (Hrsg.), Verwaltungsrecht in der Informationsgesellschaft, 2000, 
S. 225 (244 ff.); ders., CR 2000, 433 (434f.) dazu, dass die Behörden die Ungewissheit den- 
noch möglichst gering zu halten versuchen. 

6 Vgl. Scherzberg, Wissen, Nichtwissen und Ungewissheit im Recht, in: Engel/Halfmann/ 
Schulte (Hrsg.), Wissen — Nichtwissen — Unsicheres Wissen, 2002, S. 113 (115 £.); Hoffmann- 
Riem, Wissen als Risiko — Unwissen als Chance, in: Augsberg (Hrsg.), Ungewissheit als 
Chance, 2009, S. 17 (19.). 
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klar sein, dass sich keine Entscheidung auf vollständige Informationen stützen 
kann; Entscheidung unter Nichtwissen ist die Regel, nicht die Ausnahme.“’ 

Das Nichtwissensmanagement betrifft sowohl die epistemische Unsicherheit 
über Cybergefahren für die Netz- und Informationssicherheit als auch die Er- 
messensausübung im Rahmen des staatlichen Informationshandelns in der 
IT-Sicherheit. Ziel der Ausgestaltung eines Nichtwissensmanagements muss die 
Aufrechterhaltung der administrativen Entscheidungsfähigkeit sein. Tenden- 
ziell kann die Maxime sogar lauten, dass der Entscheidungsspielraum nicht zu 
verengen, sondern zu erhöhen ist. Die Erweiterung des Handlungsspielraums 
berücksichtigt die Erkenntnis, dass Ungewissheit nur durch eine andere Unge- 
wissheit ersetzt werden kann. Aus verfahrensrechtlicher Sicht ist das bewusste 
Akzeptieren von Unwägbarkeiten und Risiken Voraussetzung für das Lernen 
und für neue Erkenntnisgewinne und insofern in der NIS-Zusammenarbeit für 
den Informationsaustausch zu fordern.’ Konkret folgt daraus eine stärkere Aus- 
richtung auf die Zeitdimension. Im Gegensatz zur Sachdimension ist nicht „die 
richtige“ Entscheidung zu suchen, sondern danach zu fragen, ob das Handeln 
notfalls revidierbar ist.' Als Grenze des staatlichen Informationshandelns gilt 
dann vor allem das aus der grundrechtlichen Abwägungslehre bekannte Prin- 
zip, dass irreversible Schäden an Rechtsgütern grundsätzlich zu verhindern 
sind. 


7 Schulz, Beurteilungsspielräume als Wissensproblem, Rewi 2012, 330 (343). 

8 Vgl. Luhmann, Organisation und Entscheidung, 2000, S. 199. 

° Vgl. Appel, Methodik des Umgangs mit Ungewissheit, in: Schmidt-Aßmann/Hoffmann- 
Riem (Hrsg.), Methoden der Verwaltungsrechtswissenschaft, 2003, S. 329 (333 £.). 

10 Vgl. Augsberg, Informationsverwaltungsrecht, 2014, S. 277; zur Frage des Maßes an 
Prävention in der resilienten Gesellschaft und mit kritischem Blick auf den sicherheitsrecht- 
lichen Abwägungsdiskurs Würtenberger, Grundzüge eines Rechts der Zivilen Sicherheit, in: 
Gusy/Kugelmann/ders., Rechtshandbuch Zivile Sicherheit, 2017, S. 611 (630). 
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